Temos um certificado curinga emitido pela GoDaddy prestes a ser renovado e gostaria de usar uma empresa diferente (que ainda não foi escolhida). O certificado curinga está em uso em uma dúzia de sites em alguns servidores. Haverá um intervalo de algumas horas entre a emissão do certificado na nova autoridade e a instalação do certificado em todos esses sites e servidores. Durante esse intervalo, nossos usuários perceberão alguma coisa, por exemplo,
- Tipo de aviso "O site é inseguro"
- Falha total do site para funcionar (são sites Windows/IIS).
Estou me perguntando se, por exemplo, a nova autoridade emite algo para GoDaddy que faça GoDaddy revogar nosso certificado que eles têm em arquivo. Ou será que um navegador da Web encontrará o certificado instalado que não corresponde ao certificado recém-emitido e causará um problema?
Um certificado será válido desde que a data do sistema que verifica o domínio esteja entre a data não anterior e não posterior de sua validade , todos os outros certificados da cadeia sejam válidos e o emissor não tenha tomado medidas para revogar o certificado por meio de de opções de CRL ou OCSP à sua disposição (mais comumente devido a falsificação ou problemas de segurança, como uma chave privada que fica comprometida). Obviamente, o domínio tem que corresponder. Emitir um novo não afetará isso.
Na verdade, você pode solicitar o novo certificado antes da data de expiração do atual e começar a alterar os certificados antes desse ponto no tempo, para que haja a menor interrupção possível nos serviços. Se você aguardar a expiração para prosseguir com a renovação, os serviços mostrarão a nota insegura se não forem totalmente bloqueados por configurações de segurança em navegadores como HSTS ou outros mecanismos de segurança.
As ferramentas de automação relacionadas à renovação de certificados, como acme.sh ou o módulo Let's Encrypt no WHM, fazem seu trabalho geralmente 1 mês antes da expiração, para que o cache e outras funcionalidades também não afetem o processo de renovação.
Não, a obtenção de um novo certificado de outra CA não tem nenhuma relação com o certificado antigo.