À la lumière des navigateurs modernes supprimant progressivement les certificats de sécurité signés à l'aide de l'algorithme de hachage SHA1, nous sommes occupés à remplacer tous nos certificats SHA1 par SHA2. En règle générale, nous pouvions simplement remplacer les certificats pour ces applications Web principalement à usage interne le soir ou le week-end, lorsqu'il y avait peu ou pas de trafic.
Que se passerait-il si j'étais, sans le savoir, au milieu d'une session cryptée et que le certificat du domaine était remplacé?
Pour être sûr, nous avons informé nos clients qu'ils pouvaient supposer que les utilisateurs en cours de session pendant ce changement pourraient voir une interruption de leur session et une perte possible de toutes les données non encore stockées dans la base de données. Si j'étais en cours de session pendant un remplacement de certificat, puis-je supposer que lorsque je chargerais la page suivante, après le remplacement du certificat, mon navigateur verrait un certificat signé différent de celui avec lequel ma session a été établie et entraînerait la session " flipper". Je m'attendrais à ce que tous les navigateurs traitent cette situation de la même manière, mais veuillez m'éclairer si je me trompe.
J'ai passé pas mal de temps à chercher plus de détails sur la façon dont les navigateurs géreraient ce scénario, mais je n'ai pas eu beaucoup de chance pour trouver des informations générales ou techniques. Je suis vraiment curieux, et j'ai décidé de poster cette question dans l'espoir d'obtenir une réponse qui répond au Q de manière concise, en référence à quelques sources crédibles à valider.