A la luz de los navegadores modernos que eliminan gradualmente los certificados de seguridad firmados con el algoritmo hash SHA1, estamos ocupados reemplazando todos nuestros certificados SHA1 por SHA2. En general, podríamos simplemente reemplazar los certificados para estas aplicaciones web principalmente de uso interno en la noche o el fin de semana, cuando había poco o ningún tráfico.
¿Qué pasaría si, sin saberlo, estuviera en medio de una sesión cifrada y se reemplazara el certificado del dominio?
Para estar seguros, les informamos a nuestros clientes que podrían asumir que los usuarios a mitad de sesión durante este cambio podrían ver una interrupción de su sesión y la posible pérdida de cualquier dato que aún no esté almacenado en la base de datos. Si estaba en la mitad de la sesión durante un reemplazo de certificado, ¿podría suponer que cuando cargué la página siguiente, después de reemplazar el certificado, mi navegador vería un certificado firmado diferente al que se estableció con mi sesión y causaría que la sesión " asustarse". Esperaría que todos los navegadores aborden esta situación de manera similar, pero por favor, ilumíneme si me equivoco.
He pasado bastante tiempo buscando más detalles sobre cómo los navegadores lidiarían con este escenario, pero no he tenido mucha suerte en encontrar información general o técnica. Tengo mucha curiosidad y he decidido publicar esta pregunta con la esperanza de obtener una respuesta que responda a la Q de manera concisa, con referencia a algunas fuentes creíbles para validar.
fuente