El mismo certificado comodín de dos CA de terceros diferentes

Está describiendo una situación en la que tiene dos certificados comodín separados válidos firmados por CA independientes. A diferencia de lo que afirma el título actual, no es el " igual comodín cert".

No hay nada que le impida tener varios certificados para el mismo dominio (s).

Los clientes verificarán la validez y la confianza del certificado presentado por su servidor de acuerdo con los pasos descritos en el algoritmo de validación de la ruta de certificación artículo de Wikipedia.

Para un dominio dado, si el cliente confiaba en una CA raíz firmante para un certificado enviado por el servidor y sus CA intermedias, el certificado se considerará válido y confiable.

A menos que haya alguna implementación personalizada en el lado del cliente, no se considerará en absoluto el certificado recibido previamente.

  

¿Los clientes no sabrían que hay dos certificados para el mismo dominio emitidos por dos CA diferentes y lanzan un indicador de advertencia?

Normalmente no.

  

¿Simplemente verían el certificado que está actualmente "activo" en el servidor y, mientras sea válido, debería usarse?

Sí, normalmente.

Las CA no suelen publicar sus clientes y certificados, ni comparten notas. Podría obtener mil certificados de cien CA diferentes y cambiar entre ellos cada cinco minutos, si lo desea.

(El proyecto Transparencia del certificado para crear registros públicos y auditables de la emisión de certificados está cambiando esto, pero pocas CA aún participan, y CT no restringe la emisión, solo la documenta.)

Es común que los sitios web grandes tengan varios certificados válidos. Pueden usar diferentes certificados en diferentes centros de datos, o estar en medio de una transición cuidadosa, como usted. Por ejemplo, www.google.com emite nuevos certificados semanalmente , cada uno de ellos válido por varios meses; o vea las preguntas anteriores de Stack Exchange ¿Por qué Facebook sirve varios certificados SSL? y ¿Por qué el certificado SSL de Google cambia con tanta frecuencia? .

Hay dos problemas que puede encontrar. Mi último enlace muestra el primero: la pregunta fue hecha por alguien que usa la extensión de Firefox Patrol de certificados , que sí alerta a los usuarios cuando los sitios web reemplazan sus certificados. Pero no se usa ampliamente, y sus usuarios deben estar familiarizados con los dolores de cabeza que causa.

En segundo lugar, el estándar Fijación de clave pública HTTP (HPKP) lo cambia todo. Si lo configura, puede evitar que los clientes modernos acepten nuevas CA o certificados para sus hosts. Para realizar cambios, deberá actualizar la configuración de HPKP y esperar hasta que la anterior caduque en todos los clientes, o sufrir las consecuencias.

Finalmente, creo que es inusual que su CA le impida comprar otro certificado, no existe una razón técnica para ello y están rechazando dinero, pero eso es todo. ¿Quizás pueda usar su interfaz "comprar un nuevo certificado" en lugar de su "renovar su certificado actual"?

En el futuro, es posible que su nueva CA no lo restrinja de esta manera.

Podrías obtener otro certificado SSL comodín de otra CA. Pero solo podrá instalar un solo certificado en ese momento. Entonces, o bien tienes que eliminar el Wildcard SSL existente y tienes que instalar uno nuevo. O ... espere hasta que expire el certificado existente.

No hay ningún obstáculo técnico para obtener otro certificado en este momento, pero no podrá utilizar ambos a la vez. Por lo tanto, es mejor esperar un par de meses y dejar que la fecha de vencimiento se acerque.