Recentemente ho configurato la mia CA e ho importato il certificato CA in dispositivi all'interno dell'azienda. Ho quindi distribuito i certificati ai nostri vari server, ecc. Tutti utilizzando le firme SHA-1 (il valore predefinito nello strumento che stavo usando: XCA).
Oggi ho scoperto l'avviso SHA-1 in chrome durante la navigazione su uno qualsiasi dei nostri server. Ops. Posso rilasciare certificati SHA-2 ai nostri server e chrome sarà felice? Oppure un certificato nella catena (compresa la CA principale) utilizzando SHA-1 farà apparire l'avviso?
Se è così, suppongo di dover creare un nuovo certificato di root e distribuirlo anche io?
La prossima domanda è qual è il miglior algoritmo di firma da usare? Dovrei andare direttamente su SHA-512 per evitare di incontrare un problema simile nel prossimo anno? o usare SHA-256 per la compatibilità? (Non so se alcuni browser hanno problemi con i valori hash più grandi).