Ho un server Debian che esegue Nginx sotto un dominio e ho 2 certificati SSL diversi, provenienti da autorità diverse. È possibile configurare Nginx in modo da servire un certificato SSL, ma poi servirne un altro come fallback se il primo è scaduto o il client non lo accetta?
Ho esaminato l'SNI, ma sembra che sia solo per i server che hanno più domini, con certificati separati.
Il server non ha alcuna conoscenza se il client accetterà o meno un certificato perché la convalida è completamente eseguita dal client e dipende molto dalle ancore di fiducia dei client. Il server non ha alcuna conoscenza se il client si è appena ricollegato perché non ha accettato il certificato inviato in precedenza. Ciò significa che il server non può selezionare un altro certificato solo perché il client non ha accettato l'ultimo.
A parte questo, i client non si ricollegheranno solo se non riescono a verificare un certificato perché non si aspetteranno che il server presenti un certificato diverso sulla riconnessione. Si aspettano che il server lo faccia correttamente la prima volta.