Farklı sunuculardaki tek bir alan için birden fazla SSL sertifikası

Web sitemiz, ortak bir hosting planında D alan adı altında hosting şirketi HA tarafından barındırılmaktadır. Barındırma sağlayıcımızı HB şirketine geçirmek istiyorum ve bu amaçla yeni bir SSL sertifikası satın almak istiyorum. HA'daki sunucuya erişimim olmadığından, açıkça mevcut sertifikayı taşımak istemiyorum.

Benim sorum hem HA hem de HB eşzamanlı olarak aynı etki alanı D için bağımsız bir sertifikaya sahip olabilir mi?

Öyleyse, etki alanını HB olarak değiştirdiğimde yeni site SSL altında sorunsuz bir şekilde çalışacak mı yoksa HB'ye yeni bir tane yükleyebilmem için önce bir şekilde HA'daki sertifikanın kaydını iptal etmem gerekiyor mu?

Bataklık standardı SSL ile bu iyi. HA, geçerli olarak imzalanmış eski sertifikayı sağlar ve DNS'den eski A kaydını kullanan ve bu sunucuya bağlanan istemciler bu sertifikayı kabul etmeye devam eder. HB yeni sertifikayı sağlayacak ve yeni A kaydını alan müşteriler ona bağlanacak ve yeni sertifikayı kabul edecektir. Huzur içinde bir arada var olabilirler.

Bununla birlikte, SSL'yi bunu daha zor hale getirebilecek bazı uzantılar var. SSL sertifikalarını önbelleğe alan Sertifika Devriyesi gibi tarayıcı eklentileri değişikliği işaretler ve istemci yenisini doğruladıktan sonra eski kaydı alacak kadar şanssızsa (belki bir kullanıcı bir dizüstü bilgisayarı işten (eski DNS) bir cybercafe (yeni DNS), sonra tekrar işe), eklenti homurdandı.

Birden fazla kullanıcının herhangi bir sunucuda görülen sertifikanın birçok istemci görünümünü bir araya getirerek MITM sertifikası saldırılarını önlemesine izin veren başka bir dağıtılmış sistemin hatırlanması var. Şu anda bir referans bulamasam da, bu kesinlikle senaryonuzda sorunlara yol açacaktır.

Ancak bunlar henüz çok yaygın değil, bu yüzden muhtemelen iyi olacaksınız.

Aynı ana bilgisayar adı için aynı anda iki ayrı sertifikaya sahip olmak tamamen mümkündür. Örneğin, bir sertifikayı yenilemeniz gerektiğinde, eski sertifikanın süresi dolmadan yeni sertifikayı almak istersiniz ve yenisini yüklemeden önce eski sertifikanın geçersiz olmasını istemezsiniz.

Tam olarak bunu nasıl yapacağınız, sertifikayı satın aldığınız CA'ya bağlıdır. Verisign ile çalıştım; sona erme tarihinden itibaren 90 gün içinde güncellenmiş ("yenilenmiş") bir sertifika sipariş etme seçeneği vardı. CA'nız bunu yaparsa, izin verilen süre içinde olmanız koşuluyla sertifikanızı yenilemenizi öneririm. Bunun avantajı, eski sertifikanın süresi dolduğunda çalışmayı durduracağıdır.

Aksi takdirde, eski sertifikanın yerini alacak ve dolayısıyla eski sertifikayı geçersiz olarak işaretleyecek yeni bir sertifika sipariş etmeniz gerekir (ancak çoğu tarayıcı bunu kontrol etmediğinden, çoğu kullanıcı için çalışmaya devam eder). Ancak CA'nız size nasıl ilerleyeceğiniz konusunda tavsiyede bulunabilmelidir.