Múltiples certificados SSL para un solo dominio en diferentes servidores

Nuestro sitio web está alojado por la empresa de alojamiento HA bajo el dominio D en un plan de alojamiento compartido. Me gustaría cambiar nuestro proveedor de hosting a la compañía HB y estoy dispuesto a comprar un nuevo certificado SSL para ese propósito. Explícitamente no quiero migrar el certificado existente, porque no tengo acceso al servidor en HA.

Mi pregunta es si tanto HA como HB pueden tener simultáneamente un certificado independiente para el mismo dominio D instalado.

Si es así, ¿el nuevo sitio funcionará sin problemas bajo SSL tan pronto como cambie el dominio a HB o tenga que "no volver a registrar" el certificado en HA de alguna manera antes de poder instalar uno nuevo en HB?

Con SSL estándar de pantano, esto está bien. HA proporciona el certificado anterior, firmado de manera válida, y los clientes que usan el registro A antiguo del DNS y se conectan a ese servidor continuarán aceptándolo. HB proporcionará el nuevo certificado y los clientes que obtengan el nuevo registro A se conectarán a él y aceptarán el nuevo certificado. Pueden coexistir pacíficamente.

Dicho esto, hay algunas extensiones de SSL que pueden hacer que esto sea más complicado. Los complementos del navegador como Certificate Patrol , que almacenan certificados SSL en caché, marcarán el cambio, y si el cliente tiene la mala suerte de obtener el registro anterior después de haber validado el nuevo (quizás un usuario trasladará una computadora portátil del trabajo (DNS anterior) a un cibercafé (nuevo DNS), luego de vuelta al trabajo), el complemento se quejará.

Recuerdo otro sistema distribuido que permitió a varios usuarios evitar los ataques de certificación MITM al agrupar las muchas vistas de clientes del certificado vistas en cualquier servidor dado. Si bien no puedo encontrar una referencia en este momento, esto definitivamente causaría problemas con su escenario.

Pero estos aún no son muy comunes, por lo que probablemente estarás bien.

Es completamente posible tener dos certificados separados para el mismo nombre de host al mismo tiempo. Por ejemplo, cuando necesite renovar un certificado, desearía obtener el nuevo certificado antes de que expire el anterior, y no desea que el certificado anterior deje de ser válido antes de instalar el nuevo.

La forma exacta de hacerlo dependerá de la entidad emisora ​​de certificados a la que le haya comprado el certificado. He trabajado con Verisign; tenían la opción de solicitar un certificado actualizado ("renovado") dentro de los 90 días posteriores al vencimiento. Si su CA hace eso, le aconsejaría que simplemente renueve su certificado siempre que se encuentre dentro del plazo permitido. Esto tiene la ventaja de que el certificado anterior dejará de funcionar cuando caduque.

De lo contrario, deberá solicitar un nuevo certificado que probablemente reemplace al anterior y, por lo tanto, marque el anterior como no válido (pero como la mayoría de los navegadores no lo verifican, aún funcionaría para la mayoría de los usuarios). Pero su CA debería poder aconsejarle sobre cómo proceder.