Se una CA firma un certificato con un algoritmo di hash della firma SHA1, vuol dire che un client non sarebbe in grado di comunicare con il server se TLS 1.0 e sotto è disabilitato?
Penso che quello che sto chiedendo è se l'identificazione del server e la crittografia delle comunicazioni sono limitate dal certificato del server.
Fammi sapere se hai bisogno di ulteriori dettagli per aiutare a chiarire la mia domanda.
No, non ci sono restrizioni provenienti dalla versione del protocollo TLS per quanto riguarda la funzione di hash utilizzata da una CA nel suo algoritmo di firma.
In TLS 1.2 il client può pubblicizzare sia gli algoritmi delle firme che le funzioni hash che supporta; questo è fatto nell'estensione signature_algorithms , che è opzionale. Un determinato client può benissimo inviare tale estensione affermando che SHA-1 è supportato come parte delle firme RSA / DSA / ECDSA. In realtà, se il client non invia l'estensione, il server suppone che il client supporti SHA-1.
Nelle versioni SSL / TLS precedenti a TLS 1.2 (quindi fino a, e incluso, TLS 1.1), non esiste tale estensione: il client non indica quali funzioni hash supporta.
In pratica, un server di solito ha solo un certificato a sua disposizione, e lo invierà, indipendentemente da come il certificato è stato firmato dalla sua CA di emissione: il client accetterà il certificato o meno, ma il server non ha qualsiasi cosa migliore da inviare comunque.
Google e Microsoft sembrano voler intraprendere una guerra su SHA-1 (infatti Google l'ha avviato, e Microsoft deve seguirlo in modo da non sembrare ritardato e irresponsabile), ma questo non è correlato alla versione del protocollo TLS.
Leggi altre domande sui tag encryption tls