PKI: problemi di sicurezza quando si modifica un algoritmo di hash del certificato

Naviga le tue risposte
1

Supponiamo di voler cambiare l'algoritmo di hash utilizzato per una firma di certificato (es: da SHA1 a SHA2).

È meglio revocare il certificato precedente ed emetterne uno nuovo con l'algoritmo hash previsto? Oppure è possibile semplicemente spingere un nuovo CSR con lo stesso certificato di To-Be-Signed, ma aspettandosi che venga usato un altro algo? Che dire di CA principale o intermedia?

Immagino che anche se fosse fattibile, potrebbe avere problemi di sicurezza in giro. Esistono le migliori pratiche relative a questo caso particolare?

    
posta crypto-learner 01.12.2014 - 23:24
fonte

1 risposta

1

Alcune CA non permetteranno due certificati con lo stesso SubjectDN, quindi il nuovo sostituirà il vecchio. Se non vi è motivo di ritenere che il certificato precedente abbia compromesso PrKey, non è necessario revocare la licenza prima di firmare e installare la sostituzione. Parla con gli operatori del tuo CA, in particolare il personale che agisce come un RA, dal momento che sarebbero meglio informati della loro politica e del BCP.

    
risposta data 02.12.2014 - 05:03
fonte

Leggi altre domande sui tag

Come configurare l'infrastruttura di routing in modo che il traffico di rete appropriato venga passato alla macchina honeypot (windows xp) Impossibile contattare il mio reame per le credenziali [chiuso]