Tengo un servidor Debian que ejecuta Nginx bajo un dominio, y tengo 2 certificados SSL diferentes, de diferentes autoridades. ¿Es posible configurar Nginx de manera que sirva un certificado SSL, pero luego sirve otro como respaldo si el primero caduca o si el cliente no lo acepta?
He buscado en SNI, pero parece que solo es para servidores que tienen varios dominios, con certificados separados.
El servidor no tiene conocimiento de si el cliente aceptará un certificado o no porque la validación se realiza completamente en el cliente y depende mucho de los anclajes de confianza de los clientes. El servidor tampoco tiene conocimiento si el cliente simplemente se volvió a conectar porque no aceptó el certificado enviado anteriormente. Esto significa que el servidor no puede elegir otro certificado solo porque el cliente no aceptó el último.
Aparte de eso, los clientes no solo se volverán a conectar si no pudieron verificar un certificado porque no esperarán que el servidor presente un certificado diferente al volver a conectarse. Esperan que el servidor lo haga correctamente la primera vez.