Tengo una pregunta con respecto a los cambios de certificados https. ¿Alguien sabe algún efecto secundario al cambiar el certificado, uno firmado con RSASHA1 a uno firmado con RSASHA256 por ejemplo, mientras que los usuarios ya han establecido canales seguros con el certificado anterior?
Imagino que los nuevos usuarios, que solo están estableciendo sus canales seguros, solo recogerían el nuevo certificado y realizarían el intercambio de claves utilizando su clave pública, pero ¿qué pasa con los usuarios que ya tienen su protocolo de enlace SSL y el intercambio de claves realizado con el anterior? , y por alguna razón su canal seguro necesita ser restablecido, y el nuevo es recogido. Durante el restablecimiento, ¿es prácticamente un nuevo protocolo de enlace SSL sin ninguna dependencia del anterior?
También, tengo una pregunta más pequeña con respecto a la fijación de certificados. Si el nuevo certificado está firmado con un algoritmo diferente (RSASHA256 en mi ejemplo), ¿el proceso de anclaje del certificado es el mismo en todos los clientes (navegadores)? Lo que tengo, particularmente curioso es, ¿la identificación del certificado raíz, que asumo es nueva y no se ha fijado fuera de banda, solicita la participación de cualquier usuario? ¿O siempre se hará de forma automática, sin que el usuario del navegador lo sepa? ¿Y qué tanto riesgo es esto, si el proceso de anclaje del certificado está manchado con un ataque de hombre en el medio?