È possibile modificare una CA senza dover riemettere tutti i certificati derivati?

4

Background: ho il mio certificato autorevole che mi sono generato per firmare i certificati per i servizi che io e i miei amici utilizziamo, inclusi server web, ircd, ecc. È comodo perché non devo spendere soldi per far firmare il mio certificato e tra chi lo usa, la garanzia di sicurezza è abbastanza completa.

Caveat: essendo un po 'più noioso di quanto non lo fossi adesso, ho deciso che la CA scadrà dopo un anno. Questo era circa 10 mesi fa. La chiave privata è RSA a 4096 bit e il certificato è autofirmato con SHA512, quindi dovrebbe rimanere sicuro per quasi tutto il tempo che mi interessa, a patto che non perda la chiave privata.

Domanda: so che posso generare un nuovo certificato dalla chiave privata con una data di scadenza più lunga (diciamo tra 100 anni per gli scopi di questa discussione). La sostituzione sarebbe un processo semplice come la sostituzione del certificato esteso di nuova generazione a tutti i client? Accetterebbero i certificati secondari come affidabili, a condizione che abbiano aggiornato le loro copie memorizzate della CA per riflettere la nuova data di scadenza? Sarei in grado di saltare la rigenerazione di tutti i certificati intermedi finché la coppia di chiavi e le impronte digitali della CA sono rimaste le stesse?

    
posta Wug 17.07.2012 - 21:25
fonte

3 risposte

3

Non dovresti dover riemettere tutti dei tuoi certificati. Supponendo che ognuno sia ancora valido, e fintanto che si utilizza la stessa stessa chiave e soggetto per la CA si dovrebbe essere in grado di estendere la vita della CA e di ridistribuire il certificato come nuova ancora di fiducia.

    
risposta data 18.07.2012 - 01:47
fonte
0

La risposta è Sì. È possibile modificare la CA senza emettere nuovamente i certificati emessi dalla CA in questione, ma alcuni parametri devono essere limitati. 1) Normalmente per verificare la firma digitale della CA della catena, è necessaria la tua chiave pubblica. Quindi, senza cambiare il Keypair, puoi farlo. 2) Dopo aver apportato le modifiche, è necessario distribuire la CA modificata nel punto in cui si utilizza in quanto deve essere considerata affidabile dagli altri client. 3) Controlla il livello di applicazione o il livello di configurazione per i dettagli dell'impronta digitale (necessari per determinati controlli) nel caso in cui tu li abbia memorizzati ovunque.

    
risposta data 28.01.2015 - 04:36
fonte
0

Riguardo lo stesso nome comune per CA è sì. È possibile utilizzare lo stesso nome comune purché la chiave sia diversa. Il motivo per cui non è preferibile è che la maggior parte del prodotto di sicurezza non viene verificata rispetto al nome e alla chiave comuni in quanto vengono controllati rispetto al nome e questo è errato secondo lo standard RFC.

    
risposta data 28.01.2015 - 04:40
fonte