Di recente uno dei miei sviluppatori ha riscontrato un problema con la compatibilità di un certificato e abbiamo iniziato a radunare un po 'finché non ci siamo imbattuti in un un problema simile su SO .
Una volta compreso il problema iniziale dello sviluppatore (il certificato originale è stato generato con un provider CNG, anziché con quello Legacy), mi aspettavo di dover ricreare il CSR con il parametro compatable e inviarlo alla CA per la nuova firma.
Tuttavia, l'elenco delle domande collegate mi ha portato a una risposta non accettata su un'altra domanda , che suggeriva che openssl
potrebbe essere utilizzato per suddividere il PFX esistente in una coppia PEM, modificare il parametro CSP del file privato PEM in uno compatibile con l'applicazione, quindi ricreare il PFX.
Conversione PFX-PEM-PFX a parte, ero scettico sul fatto che la modifica del file della chiave privata avrebbe funzionato, perché pensavo che avrebbe causato la modifica della firma, e quindi non sarebbe più stata convalidata. Tuttavia, con mia sorpresa, sembra che abbia funzionato e lo sviluppatore è stato in grado di continuare senza ulteriori problemi.
Questo mi ha fatto riflettere, quanto del certificato è effettivamente coperto dal processo di firma? Che cosa impedisce a qualcuno che utilizza lo stesso strumento (o simile) di modificare la data di scadenza, aggiungere un altro nome alternativo all'oggetto o rimuovere le informazioni CRL o OSCP (ad esempio)?