¿Puede un dominio tener múltiples servidores controlados por diferentes entidades
Sí, pero será necesario que exista cierta coordinación para obtener los certificados SSL
Cómo puede funcionar la coordinación (depende del desafío de ACME utilizado)
-
HTTP
-
Trabajando juntos
Cada vez que uno de los 2 hosts desea renovar un certificado, deberá implementar un archivo .well_known
en ambos servidores, de modo que no importa cuál de ellos permita el acceso cifrado, ellos obtengan el archivo correcto.
-
Centralizado
Puede ejecutar un servidor adicional, al que ambas partes pueden enviar archivos, y hacer que ambos servidores redirijan cualquier solicitud de .well_known
a este servidor
-
DNS
Limitar el impacto de las infracciones
Dado que los servidores deben poder generar certificados SSL, si se infringen, podrán generar certificados.
Al utilizar Must-Staple , se puede reducir el impacto de las fugas de certificados actuales, pero esto no ayudará si se le indica al host que haga nuevos certificados sin esto después de la generación.
Usando los registros de CT, puede observar certificados no válidos, y utilizando CAA puede limitar qué CA emitirán certificados, lo que ayudará a reducir el impacto de la infracción.
Incluso podría usar CAA para deshabilitar los certificados por completo, y solo permitir la emisión contactándolo y eliminando manualmente el registro hasta que se haya emitido el certificado, reduciendo su ventana de ataque, pero aumentando la sobrecarga de gestión.