Что происходит с браузером пользователя, если сертификат SSL заменяется в середине сеанса?

В свете того, что современные браузеры постепенно сокращают сертификаты безопасности, подписанные с использованием алгоритма хеширования SHA1, мы заняты заменой всех наших сертификатов SHA1 на SHA2. Как правило, мы могли бы просто заменить сертификаты для этих веб-приложений, предназначенных главным образом для внутреннего использования, вечером или в выходные дни, когда было мало трафика.

Что произойдет, если я буду по незнанию находиться в середине зашифрованного сеанса и сертификат для домена будет заменен?

Чтобы быть в безопасности, мы сообщили нашим клиентам, что они могут предположить, что пользователи в середине сеанса во время этого изменения могут увидеть прерывание своего сеанса и возможную потерю любых данных, еще не сохраненных в базе данных. Если бы я находился в середине сеанса во время замены сертификата, могу ли я предположить, что при загрузке следующей страницы после замены сертификата мой браузер увидит сертификат с подписью, отличный от того, с которым был установлен мой сеанс, и вызовет сеанс " урод". Я ожидаю, что все браузеры будут иметь дело с этой ситуацией аналогичным образом, но, пожалуйста, просветите меня, если я ошибаюсь.

Я потратил немало времени на поиск дополнительной информации о том, как браузеры будут справляться с этим сценарием, но мне не особо повезло с поиском общей или технической информации. Мне действительно любопытно, и я решил опубликовать этот вопрос в надежде получить ответ, который ответит на вопрос Q кратко, со ссылкой на некоторые достоверные источники для проверки.

... мой браузер будет видеть другой подписанный сертификат, чем тот, с которым был установлен мой сеанс, и заставит сеанс "сходить с ума".

С точки зрения веб-мастера, и не вдаваясь в подробности о том, « как работает SSL » (что было бы лучше обсудить в информационной безопасности ) ...

Ключ сеанса больше не будет совпадать, поэтому браузер сервера или клиента может прервать соединение. После этого клиентский браузер отправит еще один запрос на любые ресурсы на следующей странице, которые не будут получены, что приведет к открытию нового соединения, повторному установлению SSL-квитирования, сертификата, обмена ключами и сеансового ключа (как кратко описано ниже). здесь )

Поскольку новый сертификат SSL будет выдан тому же домену, пользователи, скорее всего, ничего не заметят, поскольку изменится только сертификат (т. Е. Будет отображаться зеленая блокировка), который пользователи обычно не видят в любом случае, особенно между страницами на тот же сайт.

Однако, что вы можете не учитывать, так это то, что при установке нового SSL-сертификата вам все равно придется настраивать и перезагружать сервер, поэтому сеансы будут закрыты независимо от того, что браузеры не получат ничего ...

Поэтому я бы предложил временно перенаправить весь трафик на страницу «Техническое обслуживание» с помощью перенаправления 302 , с предварительным уведомлением, опубликованным на вашем сайте, с указанием времени, в течение которого будет выполняться обслуживание, и как долго сайт будет недоступен.

Альтернативой перенаправлению может быть отправка кода ответа HTTP-сервера 503 Service Unavailable с   полем ответа HTTP-заголовка Retry-After, указывающим, когда сервер снова будет доступен.

И последнее, но не менее важное: если у вас есть несколько серверов для внешнего интерфейса сайта, вы можете установить сертификат на другом сервере и перенаправить новые соединения на него, пока вы обновляете другие серверы. Вы можете проверить наличие соединений в Apache здесь и IIS здесь, чтобы помочь с этим, если вы еще не используете настройку отказоустойчивости или балансировки нагрузки.