Ho una domanda riguardante le modifiche ai certificati https. Qualcuno ha qualche effetto collaterale sulla modifica del certificato, uno firmato con RSASHA1 a uno firmato con RSASHA256 per ex, mentre gli utenti hanno già stabilito canali sicuri con il vecchio certificato?
Immagino che i nuovi utenti, che stanno solo stabilendo i loro canali sicuri, proveranno semplicemente il nuovo certificato ed eseguiranno lo scambio di chiavi usando la sua chiave pubblica, ma per quanto riguarda gli utenti che hanno già il loro SSL handshake e lo scambio di chiavi eseguito con quello vecchio e per qualche motivo il loro canale sicuro deve essere ristabilito e il nuovo viene prelevato. Durante il ristabilimento è praticamente un handshake SSL completamente nuovo, senza alcuna dipendenza da quello vecchio?
Inoltre, ho una domanda più piccola riguardante il blocco dei certificati. Se il nuovo certificato è firmato con un algoritmo diverso (RSASHA256 nel mio esempio), il processo di pinning del certificato è lo stesso su tutti i client (browser)? Quello che sono, in particolare, è curioso, il pinning del certificato di root, che presumo sia nuovo e che non è stato messo fuori banda, richiede un coinvolgimento dell'utente? O sarà sempre fatto automaticamente, senza alcuna consapevolezza da parte dell'utente del browser? E quanto di rischi è questo se il processo di pinning del certificato è contaminato da un attacco man-in-the-middle?