¿Está bien crear un nuevo certificado SSL antes de que caduque el anterior?
Sí. No hay nada que le impida técnicamente hacer esto. Y si usted es una empresa grande, entonces es posible que desee hacer esto en general como un seguro contra fallos de CA. Si, por ejemplo, su CA de elección es pirateada y repentinamente revoca todos sus certificados, entonces puede implementar el otro certificado (de otra CA grande) con el que se encuentra para un evento tan improbable. (Por ejemplo, si eres FaceBook, es posible que desees algo como esto).
Entonces, ¿está bien si ahora renovara un certificado que todavía es válido por medio año o más?
Si desea advertir a las personas que ya no usen este certificado, debe pagar la revocación.
La caducidad es la regla implícita "No usar esto más". La revocación es la regla explícita de "no usar esto más".
Ejemplo: si su servidor fue pirateado, debe considerar que la clave privada de su certificado es robada. Entonces, cualquier persona que después todavía encuentre el certificado comprometido en la naturaleza debe ser advertido.
De lo contrario (si también puede garantizar la seguridad de su archivo fuera de línea), puede dejar que el certificado expire.
Anulación de la interfaz de usuario caducada. Pero no por revocados.
Los errores de certificados caducados se muestran de forma diferente en los navegadores. Por ejemplo, Google Chrome actualmente permitirá al usuario anular manualmente una advertencia de certificado caducado . Pero NO permitirá la anulación de un certificado revocado explícitamente .