Supponiamo che la mia età massima per la chiave pubblica sia di 60 giorni. Quando posso distribuire un nuovo certificato? 60 giorni da oggi? Ma per quanto riguarda i browser che si connettono per la prima volta al mio sito tra oggi e tra 60 giorni?
Questo sito dice :
When GitHub [who uses HPKP] wants to replace its TLS certificate, the new certificate must be signed by either DigiCert or Symantec – otherwise, none of the key hashes in the new certificate chain would match the existing HPKP policy, and its users would be blocked from accessing the site.
Quindi, non posso distribuire un nuovo certificato firmato da una CA diversa (ad esempio, Let's Encrypt's) rispetto a quello di quello che ho originariamente bloccato (ad esempio, Verisign)?
Questo è il motivo per cui si consiglia di fissare un certificato di backup da un'altra CA?
cf. p. 315 di Ivan Ristić SSL Bulletproof e TLS (2014)