是否可以在旧的 SSL 证书过期之前创建新的 SSL 证书？

是的。从技术上讲，没有什么可以阻止您这样做。如果您是大公司，那么您通常可能希望这样做作为防止 CA 失败的保险。例如，如果您选择的 CA 被黑客入侵并突然撤销其所有证书，那么您可以部署另一个证书（来自另一个大型 CA），因为这种情况不太可能发生。（例如，如果你是 Facebook，你可能想要这样的东西。）

那么，如果我现在更新一个仍然有效半年左右的证书可以吗？

如果您想警告人们不要再使用此证书，那么您应该支付吊销费用。

过期是隐含的“不再使用这个”规则。撤销是明确的“不再使用这个”规则。

示例：如果您的服务器被黑客入侵，那么您应该认为您的证书私钥被盗。然后应该警告任何事后仍然在野外遇到受损证书的人。

否则（如果您还可以保证离线存档的安全），那么您可以让证书过期。

过期的 UI 覆盖。但不为撤销。

过期证书错误在浏览器中的显示方式不同。例如，谷歌浏览器当前将允许用户手动覆盖过期证书警告。但它不允许覆盖显式撤销的证书。

是的，只要它们（两者）具有相同的域名，您就可以做到这一点而无需撤销旧域名。

一般来说，在旧证书过期之前获得新证书是可以的，并且不需要撤销。撤销是一个相对昂贵的过程基础设施（包含在广泛分布的 CRL 中），通常只有在有理由相信私钥被泄露时才应该使用。

不幸的是，startssl 不会颁发具有相同通用名称和相同验证级别的新证书，除非旧证书被撤销或即将到期。您可以通过使用不同的通用名称和您真正想要的名称作为替代名称的证书在他们的付费层上解决这个问题，但他们不允许在他们的免费层上这样做。

我认为这种行为没有任何正当理由，除了作为一种推动免费层用户向他们付款的方式。