Ho letto un paio di articoli che danno l'impressione che la norma sia quella di utilizzare un pkc V1 x509 per una CA radice. Questo è uno di questi. Tuttavia, rfc5280 non fornisce questo suggerimento.
La mia domanda è: è ancora oggi una norma utilizzare i certificati v1 per i certificati root o autofirmati? C'è qualche altro posto in cui l'uso della versione 1 è ancora raccomandato?
Grazie in anticipo.
My question is, is it still a norm today to use v1 certs for root or self-signed certificates?
No, no e no. Per i certificati emessi negli ultimi 20 anni devono essere utilizzati solo i certificati X.509 della Versione 3.
Is there any other place where usage of version 1 still recommended?
no, non esiste tale, a meno che non sia necessario supportare software o hardware che non supportano i certificati V3 (dubito che ne trovi uno ancora in uso attivo e che non può essere sostituito).
I certificati V1 sono ancora supportati dalle librerie di crittografia, ma sono difficili da usare, perché il comportamento dei certificati può variare su piattaforme diverse. Ad esempio, è impossibile determinare il tipo di oggetto del certificato: è CA o entità finale? È consentito firmare altri certificati? Non ci sono tali informazioni nei certificati V1. E diverse piattaforme possono trattarle in modo molto diverso. Con V3 è chiaro: se viene presentata l'estensione Basic Constraints e isCA bit è impostato su True - è certificato CA, altrimenti è un'entità finale.
Inoltre, V1 rende il motore di concatenamento meno affidabile, poiché è possibile utilizzare solo la corrispondenza del nome quando si collegano i certificati nella catena, quindi è possibile costruire molte più catene e più possibilità che sia selezionata una catena in modo corretto. V3 consente entrambi, KeyMatch e ExactMatch che producono meno catene ( ExactMatch produce solo una catena in tutti i casi) ed è meno soggetto a errori.
In altre parole, i certificati V1 sono la storia del museo. È possibile conoscere le proprietà chiave e le funzionalità fornite dai certificati V1, ma utilizzare solo V3.
Leggi altre domande sui tag public-key-infrastructure certificates x.509