Come conseguenza del seguire un po 'troppo attentamente le guide Internet, la PKI interna della mia azienda ora ha un certificato intermedio con il numero di serie "10 00".
Se paragoni ad altri certificati, in cui il numero di serie è un valore esadecimale piuttosto lungo, mi chiedo se ho creato un certificato sub-par.
La nostra CA radice è un semplice server Debian offline, che ha prodotto il certificato radice con OpenSSL. Ho quindi creato un'autorità di certificazione intermedia (Windows Server 2012R2 associata ad Active Directory) e creato un CSR da questo. La creazione del certificato sulla CA principale ha quindi prodotto questo certificato "10 00", che è ora distribuito su Active Directory.
Poiché questo certificato appartiene alla CA di emissione, il numero di serie dei certificati che produce è imprevedibile . È anche il certificato solo della RootCA che avrà un numero di serie così buffo; eventuali certificati successivi firmati dal nostro Root avranno numeri di serie più lunghi.
Ho introdotto vulnerabilità o insufficienze nel nostro PKI con questo numero seriale? Vale la pena il tempo di estrarlo dall'infrastruttura AD e ricominciare da capo?
EDIT: i certificati in questione sono RSA-4096, utilizzando SHA256.