विभिन्न सर्वरों पर एकल डोमेन के लिए एकाधिक एसएसएल प्रमाणपत्र

हमारी वेबसाइट को एक साझा होस्टिंग योजना पर डोमेन डी के तहत कंपनी हा की मेजबानी करके होस्ट किया गया है। मैं अपने होस्टिंग प्रदाता को कंपनी एचबी में बदलना चाहता हूं और मैं उस उद्देश्य के लिए एक नया एसएसएल प्रमाणपत्र खरीदने के लिए तैयार हूं। मैं स्पष्ट रूप से मौजूदा प्रमाणपत्र को माइग्रेट नहीं करना चाहता, क्योंकि मेरे पास हा पर सर्वर तक पहुंच नहीं है।

मेरा प्रश्न यह है कि क्या HA और HB दोनों एक साथ एक ही डोमेन D के लिए एक स्वतंत्र प्रमाणपत्र स्थापित कर सकते हैं?

यदि ऐसा है, तो नई साइट एसएसएल के तहत मूल रूप से काम करेगी जैसे ही मैं डोमेन को एचबी पर स्विच करता हूं या क्या मुझे एचएबी पर प्रमाण पत्र को किसी भी तरह "अनरजिस्टर्ड" करना होगा, इससे पहले कि मैं एचबी पर एक नया स्थापित कर सकता हूं?

दलदल-मानक एसएसएल के साथ, यह ठीक है। हा पुराने प्रमाणपत्र, वैध-हस्ताक्षरित और क्लाइंट को DNS से ​​पुराने ए रिकॉर्ड का उपयोग करने और उस सर्वर से कनेक्ट करने के लिए प्रदान करता है जो इसे स्वीकार करना जारी रखेगा। HB नया प्रमाणपत्र प्रदान करेगा, और नए A रिकॉर्ड प्राप्त करने वाले ग्राहक इससे जुड़ेंगे और नए प्रमाणपत्र को स्वीकार करेंगे। वे शांतिपूर्वक सह अस्तित्व में रह सकते हैं।

उस ने कहा, SSL के लिए कुछ एक्सटेंशन हैं जो इसे और अधिक मुश्किल बना सकते हैं। सर्टिफिकेट पैट्रोल जैसे ब्राउज़र प्लगइन्स , जो एसएसएल सर्टिफिकेट्स को कैश करते हैं, बदलाव को हरी झंडी दिखाएंगे, और यदि ग्राहक अशुभ है तो नए रिकॉर्ड को मान्य करने के बाद पुराने रिकॉर्ड को प्राप्त करने के लिए (शायद एक उपयोगकर्ता एक लैपटॉप को पुराने DNS से ​​स्थानांतरित करेगा) एक साइबर कैफे (नया डीएनएस), फिर वापस काम करने के लिए), प्लगइन गड़बड़ा जाएगा।

मेरे पास एक और वितरित प्रणाली की याद है जिसने कई उपयोगकर्ताओं को किसी भी सर्वर पर देखे गए प्रमाण पत्र के कई ग्राहक विचारों को पूल करके MITM प्रमाणन हमलों से बचने की अनुमति दी है। जब भी मुझे अभी इसका संदर्भ नहीं मिल रहा है, तो यह निश्चित रूप से आपके परिदृश्य के लिए समस्या पैदा करेगा।

लेकिन ये बेहद सामान्य नहीं हैं, इसलिए आप शायद ठीक हो जाएंगे।

एक ही समय में एक ही होस्टनाम के लिए दो अलग-अलग प्रमाण पत्र होना पूरी तरह से संभव है। उदाहरण के लिए, जब आपको किसी प्रमाणपत्र को नवीनीकृत करने की आवश्यकता होती है, तो आप पुराने प्रमाणपत्र की समय सीमा समाप्त होने से पहले नया प्रमाणपत्र प्राप्त करना चाहते हैं, और आप नहीं चाहते कि नया प्रमाणपत्र स्थापित करने से पहले आप पुराने प्रमाणपत्र को अमान्य कर दें।

वास्तव में आप ऐसा कैसे करते हैं, यह उस CA पर निर्भर करेगा जो आपने प्रमाण पत्र खरीदा था। मैंने Verisign के साथ काम किया है; उनके पास समाप्ति के 90 दिनों के भीतर एक अद्यतन ("नवीनीकृत") प्रमाणपत्र देने का विकल्प था। यदि आपका CA ऐसा करता है, तो मैं आपको सलाह दूंगा कि आप अपने प्रमाणपत्र को नवीनीकृत करें, बशर्ते आप अनुमत समय सीमा के भीतर हों। इससे यह फायदा होता है कि यह समाप्त होने पर पुराना प्रमाणपत्र काम करना बंद कर देगा।

अन्यथा, आपको एक नया प्रमाण पत्र ऑर्डर करने की आवश्यकता होगी जो संभवतः पुराने को बदल देगा और इस प्रकार पुराने को अवैध रूप से चिह्नित करेगा (लेकिन चूंकि अधिकांश ब्राउज़र इसकी जांच नहीं करते हैं, यह अभी भी अधिकांश उपयोगकर्ताओं के लिए काम करेगा)। लेकिन आपका सीए आपको आगे बढ़ने के बारे में सलाह देने में सक्षम होना चाहिए।