Могу ли я заменить подписанный md5 сертификат Root SSL/TLS с помощью sha1 или 256 без повторного подписания промежуточного/конечного сертификата?

Question

У меня есть сертификат SSL/TSL, который подписан с sha1. Однако корневой сертификат от thwatke подписан со старым и уязвимым алгоритмом md5. После обновления корпоративного приложения я получил ошибку, потому что корневой сертификат с использованием md5.

Теперь я должен заменить корневой сертификат на sha1 или sha256 (который является более новым и безопасным), чтобы приложения запускались снова.

Можно ли просто заменить корневой сертификат thwatke версией, подписанной sha1, или мне нужно воссоздать целую цепочку? Может ли тватке сделать это для меня? Я купил сертификат всего несколько месяцев назад ...

Answer 1

Чтобы проверить подпись сертификата, публичный ключ проблемы используется. Пока этот ключ одинаковый, не имеет значения, какой алгоритм подписи используется для сертификата эмитента. Нередко CA имеет один и тот же открытый ключ в сертификате для разных сертификатов, подписанных с разными сигнатурными алгоритмами. Но поскольку неизвестно, какие конкретные сертификаты вы говорите, вам нужно проверить себя, есть ли у них один и тот же открытый ключ.

После обновления корпоративного приложения у меня возникла ошибка, потому что корневой сертификат с использованием md5.

Странно или ошибка в приложении. Корневому сертификату доверяют, поскольку он находится в хранилище доверия, а не из-за его подписи. Таким образом, алгоритм подписи не должен иметь значения, поскольку подпись корневого сертификата не требуется проверять.