Vários certificados SSL para um único domínio em diferentes servidores

Nosso site é hospedado pela empresa de hospedagem HA sob o domínio D em um plano de hospedagem compartilhada. Gostaria de mudar nosso provedor de hospedagem para a empresa HB e estou disposto a comprar um novo certificado SSL para esse fim. Eu não quero explicitamente migrar o certificado existente, porque não tenho acesso ao servidor no HA.

Minha pergunta é se ambos, HA e HB, podem simultaneamente ter um certificado independente para o mesmo domínio D instalado?

Em caso afirmativo, o novo site funcionará perfeitamente sob SSL assim que eu alternar o domínio para o HB ou tenho que "cancelar o registro" do certificado no HA de alguma forma antes de instalar um novo no HB?

Com SSL padrão, isso é bom. A HA fornece o certificado antigo, com assinatura válida e os clientes que usam o registro A antigo do DNS e se conectam a esse servidor continuarão a aceitá-lo. A HB fornecerá o novo certificado e os clientes que obtiverem o novo registro A se conectarão a ele e aceitarão o novo certificado. Eles podem coexistir pacificamente.

Dito isto, existem algumas extensões ao SSL que podem tornar isso mais complicado. Plug-ins de navegador como o Certificate Patrol , que armazena em cache os certificados SSL, sinalizam a alteração e, se o cliente tiver a sorte de obter o registro antigo após validar o novo (talvez um usuário mova um laptop do trabalho (DNS antigo) para um cybercafé (novo DNS) e depois voltar ao trabalho), o plug-in resmungará.

Tenho uma lembrança de outro sistema distribuído que permitiu a vários usuários evitar ataques de certificação MITM, agrupando as várias visualizações de clientes do certificado vistas em qualquer servidor. Embora eu não consiga encontrar uma referência a isso no momento, isso definitivamente causaria problemas no seu cenário.

Mas ainda não são muito comuns, então você provavelmente ficará bem.

É perfeitamente possível ter dois certificados separados para o mesmo nome de host ao mesmo tempo. Por exemplo, quando você precisa renovar um certificado, deseja obter o novo certificado antes que o antigo expire e não deseja que o certificado antigo se torne inválido antes de instalar o novo.

Exatamente como você faz isso dependerá da CA da qual você comprou o certificado. Eu trabalhei com a Verisign; eles tiveram a opção de solicitar um certificado atualizado ("renovado") no prazo de 90 dias a partir do vencimento. Se a sua CA fizer isso, aconselhamos que você simplesmente renove seu certificado, desde que dentro do prazo permitido. Isso tem a vantagem de o certificado antigo parar de funcionar quando expirar.

Caso contrário, você precisará solicitar um novo certificado que provavelmente substitua o antigo e, assim, sinalize o antigo como inválido (mas como a maioria dos navegadores não verifica isso, ainda funcionaria para a maioria dos usuários). Mas sua autoridade de certificação deve aconselhá-lo sobre como proceder.