Clients wouldn't know that there's two certificates for the same domain issued by two different CA's and throw a warning flag?
Di solito.
They would just see whichever certificate is currently 'active' on the server and as long as it's valid, it should be used?
Sì, di solito.
Normalmente le autorità di certificazione non pubblicizzano i loro clienti e certificati, né condividono le note. Potresti ottenere migliaia di certificati da un centinaio di CA diverse e passare da una all'altra ogni cinque minuti, se lo desideri.
(Il progetto Trasparenza certificato per creare registri pubblici e verificabili di emissione di certificati sta cambiando, ma poche CA partecipano ancora, e CT non limita l'emissione, lo documenta solo.)
È comune per i siti Web di grandi dimensioni avere più certificati validi. Possono utilizzare diversi certificati in diversi data center o essere nel bel mezzo di un'attenta transizione, come lo sei tu. Ad esempio, www.google.com emette nuovi certificati settimanali , ognuno dei quali valido per diversi mesi; o vedi le precedenti domande Stack Exchange Perché Facebook serve diversi certificati SSL? e Perché il certificato SSL di Google cambia così frequentemente? .
Ci sono due problemi che potresti incontrare. Il mio ultimo link mostra il primo: la domanda è stata posta da qualcuno che ha utilizzato l'estensione per Firefox Certificate Patrol , che fa avvisa gli utenti quando i siti Web sostituiscono i loro certificati. Ma non è ampiamente utilizzato, e i suoi utenti dovrebbero avere familiarità con il mal di testa che provoca.
In secondo luogo, lo standard HTTP Public Key Pinning (HPKP) cambia tutto. Se lo configuri, può impedire ai client moderni di accettare nuove CA o certificati per i tuoi host. Per apportare modifiche, è necessario aggiornare la configurazione di HPKP e attendere che il vecchio sia scaduto su tutti i client o subirne le conseguenze.
Infine, penso che sia insolito che il tuo CA ti stia impedendo di acquistare un altro certificato - non ci sono ragioni tecniche per farlo e stanno rifiutando i soldi - ma questo è su di loro. Forse puoi usare la loro interfaccia "compra un nuovo certificato" invece del loro "rinnovo del tuo certificato attuale" uno?
In futuro, la tua nuova CA potrebbe non limitarti in questo modo.