Supongamos que la antigüedad máxima de mis Claves Públicas es de 60 días. ¿Cuándo puedo desplegar un nuevo certificado? 60 días a partir de ahora? Pero, ¿qué pasa con los navegadores que se conectan por primera vez a mi sitio desde ahora y dentro de 60 días?
Este sitio dice :
Cuando GitHub [quien usa HPKP] quiere reemplazar su certificado TLS, el nuevo certificado debe estar firmado por DigiCert o Symantec; de lo contrario, ninguno de los hashes clave en la nueva cadena de certificados coincidirá con la política de HPKP existente, y su Se impediría a los usuarios acceder al sitio.
Por lo tanto, no puedo implementar un nuevo certificado firmado por una CA diferente (por ejemplo, Let's Encrypt) que el que puse originalmente (por ejemplo, Verisign).
¿Es por esto que se recomienda fijar un certificado de copia de seguridad de una CA diferente?
cf. pag. 315 de Bulletproof SSL and TLS de Ivan Ristić (2014)