web-dev-qa-db-ja.com

SHA-2を使用した証明書の再発行

最近、独自のCAをセットアップし、CA証明書を会社全体のデバイスにインポートしました。次に、さまざまなサーバーなどに証明書を展開しました。すべてSHA-1署名を使用しました(使用していたツールのデフォルト:XCA)。

今日、サーバーを閲覧しているときにchromeでSHA-1の警告を発見しました。おっと、サーバーにSHA-2証明書を発行してchromeそれとも、SHA-1を使用するチェーン内の証明書(ルートCAを含む)によって警告が表示されますか?

もしそうなら、私は新しいルート証明書を作成してそれも配布する必要があると思いますか?

次の質問は、使用するのに最適な署名アルゴリズムは何ですか?来年に同様の問題が発生するのを避けるために、SHA-512まで行く必要がありますか?または互換性のためにSHA-256を使用しますか? (一部のブラウザーで大きなハッシュ値に問題があるかどうかはわかりません)。

1
TSG

Chromeブラウザに関して:

  1. トラストストア内にある自己署名証明書は、SHA-1で問題ありません。
  2. ルート証明書はSHA-1でOKです。 (つまり、これはポイント1を繰り返しているだけです。)
  3. チェーン内の他のすべての証明書はSHA-2である必要があります。 SHA-1は警告を生成します。

自己署名された信頼できる証明書(別名ルート証明書)の特別な扱いの原因は、それらがうーん...自己署名されていることです。したがって、「署名」フィールドに表示されるのは、実際のセキュリティデバイスではなく暗号化された種類のnopです。 。署名を検証すると、セキュリティがほぼゼロになります。

3
kubanczyk