당사의 웹 사이트는 공유 호스팅 계획에서 도메인 D하에 회사 HA를 호스팅함으로써 호스팅됩니다. 호스팅 제공 업체를 회사 HB로 전환하고 해당 목적을 위해 새 SSL 인증서를 구매하려고합니다. HA의 서버에 액세스 할 수 없기 때문에 기존 인증서를 명시 적으로 마이그레이션하고 싶지 않습니다.
내 질문은 HA와 HB가 각각 동일한 도메인 D에 대해 독립적 인 인증서를 동시에 가질 수 있는지 여부입니다.
그렇다면 도메인을 HB로 전환하자마자 새 사이트가 SSL에서 원활하게 작동합니까 아니면 HB에 새 인증서를 설치하기 전에 HA에서 인증서를 "등록 취소"해야합니까?
답변:
bog 표준 SSL을 사용하면 좋습니다. HA는 유효하게 서명 된 기존 인증서를 제공하며 DNS에서 이전 A 레코드를 사용하고 해당 서버에 연결하는 클라이언트는 계속해서이를 수락합니다. HB가 새 인증서를 제공하고 새 A 레코드를받는 클라이언트가이 인증서에 연결하여 새 인증서를 수락합니다. 그들은 평화롭게 공존 할 수 있습니다.
그러나 SSL을 확장하기가 더 까다로울 수 있습니다. SSL 인증서를 캐시하는 Certificate Patrol 과 같은 브라우저 플러그인 은 변경 사항을 표시하며 클라이언트가 운이 좋지 않은 경우 새 레코드의 유효성을 검사 한 후 이전 레코드를 얻을 수있을 정도로 운이 좋지 않은 경우 (사용자는 랩톱을 직장 (이전 DNS)에서 사이버 카페 (새로운 DNS)로 돌아가서 다시 작동하면 플러그인이 엉망이됩니다.
특정 서버에서 볼 수있는 인증서의 많은 클라이언트보기를 풀링하여 여러 사용자가 MITM 인증 공격을 피할 수있는 다른 분산 시스템을 기억합니다. 지금은 참조를 찾을 수 없지만 시나리오에 문제가 발생할 수 있습니다.
그러나 이것들은 아직 흔하지 않으므로 아마 괜찮을 것입니다.
동일한 호스트 이름에 대해 두 개의 개별 인증서를 동시에 가질 수 있습니다. 예를 들어, 인증서를 갱신해야 할 경우 이전 인증서가 만료되기 전에 새 인증서를 가져오고 새 인증서를 설치하기 전에 이전 인증서가 유효하지 않게하려고합니다.
정확한 방법은 인증서를 구입 한 CA에 따라 다릅니다. Verisign과 함께 일했습니다. 그들은 만료 시간 90 일 이내에 업데이트 된 ( "갱신 된") 인증서를 주문할 수있는 옵션이있었습니다. CA가 그렇게하는 경우 허용 된 시간 내에 인증서를 갱신하는 것이 좋습니다. 이전 인증서가 만료되면 작동이 중지된다는 이점이 있습니다.
그렇지 않으면 이전 인증서를 대체하여 이전 인증서를 유효하지 않은 것으로 플래그 지정하는 새 인증서를 주문해야합니다 (그러나 대부분의 브라우저는이를 확인하지 않기 때문에 대부분의 사용자에게 여전히 작동합니다). 그러나 CA는 진행 방법에 대해 조언 할 수 있어야합니다.