最近、独自のCAをセットアップし、CA証明書を会社全体のデバイスにインポートしました。次に、さまざまなサーバーなどに証明書を展開しました。すべてSHA-1署名を使用しました(使用していたツールのデフォルト:XCA)。
今日、サーバーを閲覧しているときにchromeでSHA-1の警告を発見しました。おっと、サーバーにSHA-2証明書を発行してchromeそれとも、SHA-1を使用するチェーン内の証明書(ルートCAを含む)によって警告が表示されますか?
もしそうなら、私は新しいルート証明書を作成してそれも配布する必要があると思いますか?
次の質問は、使用するのに最適な署名アルゴリズムは何ですか?来年に同様の問題が発生するのを避けるために、SHA-512まで行く必要がありますか?または互換性のためにSHA-256を使用しますか? (一部のブラウザーで大きなハッシュ値に問題があるかどうかはわかりません)。
Chromeブラウザに関して:
自己署名された信頼できる証明書(別名ルート証明書)の特別な扱いの原因は、それらがうーん...自己署名されていることです。したがって、「署名」フィールドに表示されるのは、実際のセキュリティデバイスではなく暗号化された種類のnopです。 。署名を検証すると、セキュリティがほぼゼロになります。