Ich glaube, Sie ein Grundkonzept TLS fehlen: die Rolle eines Zertifikats Emittenten.
Normalerweise sperren Sie sich nicht für ein bestimmtes Zertifikat für eine Site und hoffen, dass jemand Ihnen das neue Zertifikat im Voraus zur Verfügung stellt, wenn das alte Zertifikat abläuft und Sie dann alle Ihre Clients ändern können, um dieses neue Zertifikat zu akzeptieren . Das würde einfach nicht skalieren.
Stattdessen vertrauen Sie einem Aussteller (CA - Certificate Agency), ein Zertifikat für eine bestimmte Site auszustellen. Dann prüfen Sie, ob für ein Zertifikat die Vertrauenskette zu Ihrem lokal vertrauenswürdigen Zertifikat in Ordnung ist und ob der Betreff des Zertifikats mit der Site übereinstimmt, auf die Sie zugreifen. Das gleiche CA-Zertifikat (oder zumindest der darin enthaltene öffentliche Schlüssel) wird viele Jahre lang für die Ausstellung neuer Zertifikate verwendet, im Gegensatz zu Leaf-Zertifikaten, die nur für 1, 3 Jahre oder sogar nur wenige Monate gültig sind, um das Risiko von Kompromittierungen zu verringern .
Zusammenfassend: Erwarten Sie von niemandem, dass er Ihnen ein neues Zertifikat ausstellt, weil niemand Ihnen davon erzählen wird. Stattdessen mag es alle anderen und vertrauen einer CA.
Eigentlich wurde empfohlen, dies in einem Sicherheitsscan zu tun. Die folgenden Links geben Details an https://vulncat.fortify.com/de/vulncat/java/insecure_ssl_overly_broad_certificate_trust.html https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning – megbhandari
@megbhandari: da Google einfach nicht alle benachrichtigt, wenn Sie stellen ein neues Zertifikat aus, das Sie nicht an das Zertifikat anheften können. Sie können an den öffentlichen Schlüssel anheften und hoffen, dass sie den Schlüssel bei der Verlängerung behalten oder dass Sie einen bestimmten Aussteller wie Google Internet Authority G2 anzapfen können. –