Is it OK to create a new SSL certificate before the old one expires?
Sì. Non c'è nulla che ti impedisca tecnicamente di farlo. E se sei una grande azienda, allora potresti volerlo fare generalmente come assicurazione contro il fallimento di CA. Se ad esempio la tua CA di scelta viene compromessa e revoca improvvisamente tutti i suoi certificati, allora puoi semplicemente distribuire l'altro certificato (da un'altra CA di grandi dimensioni) che hai in giro solo per un evento così improbabile. (Ad esempio, se sei su FaceBook, potresti volere qualcosa di simile.)
So, is it okay if I would now renew a certificate that is still valid for half a year or so?
Se vuoi avvisare le persone di non usare più questo certificato, allora dovresti pagare per la revoca.
La scadenza è l'implicito "Non usarlo più" - regola. La revoca è l'esplicito "Non usare più" -rule.
Esempio: se il tuo server è stato violato, dovresti prendere in considerazione il furto della chiave privata del tuo certificato. Quindi chiunque sia in seguito incontra ancora il certificato compromesso in natura dovrebbe essere avvisato.
Altrimenti (se puoi anche garantire la sicurezza dell'archivio offline), puoi semplicemente lasciare scadere il certificato.
Sostituzione dell'interfaccia utente per scaduta. Ma non per revocato.
Gli errori dei certificati scaduti vengono visualizzati in modo diverso nei browser. Ad esempio, Google Chrome al momento consente all'utente di ignorare manualmente un avviso di un certificato scaduto. Tuttavia, NON consente l'override per un certificato esplicitamente revocato .