Renovar un certificado SSL es el equivalente funcional de generar un nuevo certificado; no es una revocación, y el certificado 'antiguo' se seguirá aceptando como válido, suponiendo que aún no haya caducado. No hay ningún requisito de tiempo de inactividad / mantenimiento para su reemplazo.
Sin embargo, tenga en cuenta que debido a la SSL SHA1 Hashing Deprecation , muchas autoridades de certificación (CA) se están moviendo rápidamente para eliminar SHA1 en favor de SHA256 a finales de 2016. Esto significa que muchas CA están facilitando el "cambio de clave" del SSL existente basado en SHA1 certificados, que proporcionan una rápida regeneración del certificado SSL existente, utilizando el nuevo algoritmo de hash SHA256, generalmente con unos pocos clics. GoDaddy, un importante registrador de CA / dominio, implementa esta función a través de su servicio de CA de Starfield SSL .
Lo que a menudo no queda claro es que una nueva clave de un certificado SHA1 a un certificado SHA2 puede incluir una revocation implícita del certificado existente. El proceso subyacente en Starfield para cambiar la clave de un certificado SHA1 genera una solicitud de revocación, lo que inmediatamente hace que su certificado SSL actual no sea válido. No hay documentación o advertencia sobre este importante detalle (!). Muchos asumirán que solicitar un certificado con nueva clave es el equivalente de una renovación de certificado, cuando en realidad es una solicitud de revocación, más la generación del nuevo certificado. Imagine su sorpresa después de hacer clic en "re-key" y luego descargar el nuevo certificado, tal vez esperando una instalación posterior, y que en unas pocas horas su punto final de SSL dejará de ser válido. No es divertido. Por lo tanto, tenga mucho cuidado al volver a codificar los certificados SHA1 durante el período de transición en desuso SHA1.
Otro punto que debe tener en cuenta al migrar de certificados SHA1 a SHA2 es asegurarse de descargar e instalar la nueva cadena de certificados intermedios de CA en su almacén de claves al mismo tiempo. La migración de SHA1 a SHA256 a menudo significa que el nuevo certificado SHA256 requiere nuevas cadenas de certificados intermedias SHA256 en su almacén de claves. No hacer esto puede resultar en la invalidación del certificado base.