SHA-2を使用した証明書の再発行
最近、独自のCAをセットアップし、CA証明書を会社全体のデバイスにインポートしました。次に、さまざまなサーバーなどに証明書を展開しました。すべてSHA-1署名を使用しました(使用していたツールのデフォルト:XCA)。
今日、サーバーを閲覧しているときにchromeでSHA-1の警告を発見しました。おっと、サーバーにSHA-2証明書を発行してchromeそれとも、SHA-1を使用するチェーン内の証明書(ルートCAを含む)によって警告が表示されますか?
もしそうなら、私は新しいルート証明書を作成してそれも配布する必要があると思いますか?
次の質問は、使用するのに最適な署名アルゴリズムは何ですか?来年に同様の問題が発生するのを避けるために、SHA-512まで行く必要がありますか?または互換性のためにSHA-256を使用しますか? (一部のブラウザーで大きなハッシュ値に問題があるかどうかはわかりません)。
Chromeブラウザに関して:
- トラストストア内にある自己署名証明書は、SHA-1で問題ありません。
- ルート証明書はSHA-1でOKです。 (つまり、これはポイント1を繰り返しているだけです。)
- チェーン内の他のすべての証明書はSHA-2である必要があります。 SHA-1は警告を生成します。
自己署名された信頼できる証明書(別名ルート証明書)の特別な扱いの原因は、それらがうーん...自己署名されていることです。したがって、「署名」フィールドに表示されるのは、実際のセキュリティデバイスではなく暗号化された種類のnopです。 。署名を検証すると、セキュリティがほぼゼロになります。