Modifica Ho modificato la mia domanda non solo per considerare la deprecazione SHA-1, ma più in generale la firma diretta dei certificati di sottoscrizione da root.
Nel caso in cui un sistema legacy utilizzi ancora un'impostazione in cui una CA radice autofirmata interna emette direttamente certificati server, questi certificati saranno comunque accettati dai browser dell'utente finale (ad es. dipendenti)?
Sto pensando all'impatto di:
- deprecazione SHA-1: se ho la radice SHA-1 rilasciare direttamente certificati di sottoscrizione SHA-256, è permesso? So che la firma sulla radice non viene utilizzata, ma il rilascio diretto di certificati da root potrebbe essere considerato un set-up illegale.
- Altre misure adottate dai browser: ad esempio, il documento a cui sono stato collegato CryptoGuy menziona "le CA NON DEVONO emettere certificati di sottoscrizione direttamente dalle CA radice".
Fornisci anche collegamenti a fonti credibili, se disponibili.