PKI: problemi di sicurezza quando si modifica un algoritmo di hash del certificato

1

Supponiamo di voler cambiare l'algoritmo di hash utilizzato per una firma di certificato (es: da SHA1 a SHA2).

È meglio revocare il certificato precedente ed emetterne uno nuovo con l'algoritmo hash previsto? Oppure è possibile semplicemente spingere un nuovo CSR con lo stesso certificato di To-Be-Signed, ma aspettandosi che venga usato un altro algo? Che dire di CA principale o intermedia?

Immagino che anche se fosse fattibile, potrebbe avere problemi di sicurezza in giro. Esistono le migliori pratiche relative a questo caso particolare?

    
posta crypto-learner 01.12.2014 - 23:24
fonte

1 risposta

1

Alcune CA non permetteranno due certificati con lo stesso SubjectDN, quindi il nuovo sostituirà il vecchio. Se non vi è motivo di ritenere che il certificato precedente abbia compromesso PrKey, non è necessario revocare la licenza prima di firmare e installare la sostituzione. Parla con gli operatori del tuo CA, in particolare il personale che agisce come un RA, dal momento che sarebbero meglio informati della loro politica e del BCP.

    
risposta data 02.12.2014 - 05:03
fonte