AWS RDSの「Certificate update」に「2020 年 2 月 5 日までに Amazon RDS SSL/TLS 証明書を更新してください」の赤マークが付いて久しいですよね。
暗号化通信していないからいいやと放置できるものではなく、いずれ強制再起動が入るので事前にやっておかないといけません。

実際にやってみたダウンタイムの参考です。
具体的な構成は、RDS、Aurola、MultiAZ 1Read、db.r5.xlarge、です。

シングル構成で更新ボタンをポチったところおおむね10秒以内で終わりました。
冗長構成は通常なら「レプリカ(db2)更新 → フェイルオーバー → レプリカ(db1)更新」という作業手順になるでしょう。
ただAWSのフェイルオーバーは30秒〜機嫌が悪いと数分かかることあるのでフェイルオーバーせず「レプリカ(db2)更新 → マスター(db1)更新」という手順を行いました。

そのときのイベントログが以下のとおりですが、ダウンタイム9秒で済みました。
フェイルオーバーしないほうがSLA的に良いでしょう。
更新ボタンを押してからshutdownまで数十秒のラグはありますがその間は動いています。

でも暗号化通信している場合はクライアント側の都合もあります。
何かあったとき切り戻せるようフェイルオーバーした方が安全でしょうね。