我之前处理过类似的Service Worker + SSL证书更新的问题，给你拆解下关键点：

首先明确：如果客户端缓存的旧证书已经过期，用户再次访问站点时肯定会出问题。因为浏览器会先校验本地缓存的证书有效性，一旦发现过期，直接判定站点不安全，弹出SSL警告页面——哪怕服务器已经部署了新证书，只要浏览器没去拉取新的，就会用失效的缓存证书来验证。

• Chrome：不会自动忽略过期缓存去请求新证书。只要缓存里的证书过期，直接弹SSL安全警告，提示站点不安全，普通用户大概率会直接关闭页面，不会点“继续前往”。
• Firefox：逻辑和Chrome一致，先查缓存证书有效期，过期后直接展示SSL错误页面，不会主动去服务器拉新证书。

划重点：只有缓存证书未过期时，浏览器才会优先用缓存；过期后缓存直接失效，但浏览器不会主动触发刷新，而是直接报错。

结合你有Service Worker的场景，推荐这几个方案：

1. 更新Service Worker，清理旧缓存
   Service Worker如果缓存了关联旧证书的资源，会卡住浏览器请求新内容。你可以：

   • 给Service Worker脚本加个版本标识（比如改个注释或者版本号），触发浏览器更新Service Worker，新的Worker激活后，用caches.delete('旧缓存名称')主动删掉旧缓存条目。
   • 确保新的Service Worker缓存策略设置成no-cache或者must-revalidate，避免再次缓存旧证书相关的请求。

2. 强制浏览器绕过缓存

   • 在服务器端给站点的所有HTTPS请求添加Cache-Control: no-cache, must-revalidate响应头，这样浏览器每次都会向服务器验证资源有效性，间接触发证书的重新拉取。
   • 可以在站点内加个临时提示，引导用户用Ctrl+Shift+R（Chrome/Firefox）强制刷新页面，这会完全绕过本地缓存，直接从服务器拉新证书和资源。

3. 检查服务器证书配置完整性
   确认新证书的配置没问题，比如证书链是否完整（很多时候证书不生效是缺了中间证书），同时确保Service Worker作用域内的所有子域名/路径都能正确获取到新证书。

内容的提问来源于stack exchange，提问作者Jee Mok