À luz dos navegadores modernos que eliminam gradualmente os certificados de segurança assinados usando o algoritmo de hash SHA1, estamos ocupados substituindo todos os nossos certificados SHA1 por SHA2. Geralmente, poderíamos simplesmente substituir certificados por esses aplicativos da Web de uso interno principalmente à noite ou no fim de semana, quando havia pouco ou nenhum tráfego.
O que aconteceria se eu estivesse, sem saber, no meio de uma sessão criptografada e o certificado do domínio fosse substituído?
Para garantir a segurança, aconselhamos nossos clientes que eles poderiam assumir que os usuários no meio da sessão durante essa alteração poderiam ver uma interrupção da sessão e possível perda de dados ainda não armazenados no banco de dados. Se eu estivesse no meio da sessão durante uma substituição de certificado, poderia assumir que, quando carregasse a página seguinte, após a substituição do certificado, meu navegador exibisse um certificado assinado diferente daquele estabelecido com a minha sessão e faria com que a sessão " surtar". Eu esperaria que todos os navegadores lidassem com essa situação de maneira semelhante, mas, por favor, esclareça-me se eu estiver enganado.
Passei bastante tempo procurando informações mais específicas sobre como os navegadores lidariam com esse cenário, mas não tive muita sorte em encontrar informações gerais ou técnicas. Estou realmente curioso e decidi postar esta pergunta na esperança de obter uma resposta que responda ao Q de forma concisa, com referência a algumas fontes confiáveis para validar.