Supponiamo di voler cambiare l'algoritmo di hash utilizzato per una firma di certificato (es: da SHA1 a SHA2).
È meglio revocare il certificato precedente ed emetterne uno nuovo con l'algoritmo hash previsto? Oppure è possibile semplicemente spingere un nuovo CSR con lo stesso certificato di To-Be-Signed, ma aspettandosi che venga usato un altro algo? Che dire di CA principale o intermedia?
Immagino che anche se fosse fattibile, potrebbe avere problemi di sicurezza in giro. Esistono le migliori pratiche relative a questo caso particolare?