¿Actualización del certificado SSL / TLS?

4

Teníamos una configuración que utilizaba openssl0.9.8, por lo que solo tenía soporte para SSLv2 y TLSv1.0. Teníamos un script que genera certificados X.509 autofirmados y utiliza la biblioteca openssl.

Ahora hemos actualizado openssl a openssl1.0.1 para que sea compatible con TLSv1.2. Entonces, ¿necesito crear un nuevo certificado X.509 para admitir TLSv1.2?

    
pregunta RaviChaitanya 13.08.2015 - 12:18
fuente

3 respuestas

6
  

Ahora hemos actualizado openssl a openssl1.0.1 para que sea compatible con TLSv1.2. Asi que,   ¿Debo crear un nuevo certificado X.509 para admitir TLSv1.2?

Un certificado de servidor SSL / TLS confirma la identidad del servidor. Este certificado es independiente de la versión del protocolo SSL / TLS. La versión SSL / TLS se negocia durante la conexión, antes de que el certificado se presente a un cliente. Si habilita la compatibilidad con TLSv1.2, entonces los clientes pueden usar cifrados más seguros y protegerse contra otros ataques. No es necesario crear un nuevo certificado al cambiar las versiones de protocolo.

Incluso si el protocolo más nuevo puede funcionar con su certificado anterior, es posible que desee revisar los parámetros de su certificado. En particular:

  • Las firmas MD5 y SHA-1 se consideran inseguras. Mover a SHA-256.
  • Las claves RSA de 1024 bits se consideran inseguras. Considere mudarse a RSA de 2048 bits o mejor.

Puede verificar el contenido de su certificado X.509 usando el siguiente comando:

openssl x509 -noout -text -in your.crt

Para configurar los parámetros TLS, puede comenzar a leer enlace

    
respondido por el Lekensteyn 13.08.2015 - 16:46
fuente
2

No. Usted no tiene que hacerlo Principalmente son los conjuntos de cifrado los que difieren entre tls 1.2 y 1.0

    
respondido por el JOW 13.08.2015 - 12:29
fuente
2

En primer lugar, espero que no esté utilizando OpenSSL 1.0.1 en su servidor porque es vulnerable a HeartBleed .

Antes de responder a su pregunta, veamos algunos de los elementos principales en un certificado X.509 (de RFC 5280 ):

Certificate
    Version
    Serial Number
    Algorithm ID
    Issuer
    Validity
        Not Before
        Not After
    Subject
    Subject Public Key Info
        Public Key Algorithm
        Subject Public Key
    Issuer Unique Identifier (optional)
    Subject Unique Identifier (optional)
    Extensions (optional) 

Puedes notar por ti mismo que todos los elementos siguen siendo los mismos . Si no cambia la clave y el algoritmo que utilizó, el certificado seguirá siendo válido.

Me refiero a que no necesita para emitir otro certificado, ya que todo el conjunto de cifrado de OpenSSL0.9.8 existe en su versión ne OpenSSL que tiene, además, esta lista:

TLS_ECDHE_ECDSA_WITH_CAMELLIA_128_CBC_SHA256 ECDHE-ECDSA-CAMELLIA128-SHA256
 TLS_ECDHE_ECDSA_WITH_CAMELLIA_256_CBC_SHA384 ECDHE-ECDSA-CAMELLIA256-SHA384
 TLS_ECDH_ECDSA_WITH_CAMELLIA_128_CBC_SHA256  ECDH-ECDSA-CAMELLIA128-SHA256
 TLS_ECDH_ECDSA_WITH_CAMELLIA_256_CBC_SHA384  ECDH-ECDSA-CAMELLIA256-SHA384
 TLS_ECDHE_RSA_WITH_CAMELLIA_128_CBC_SHA256   ECDHE-RSA-CAMELLIA128-SHA256
 TLS_ECDHE_RSA_WITH_CAMELLIA_256_CBC_SHA384   ECDHE-RSA-CAMELLIA256-SHA384
 TLS_ECDH_RSA_WITH_CAMELLIA_128_CBC_SHA256    ECDH-RSA-CAMELLIA128-SHA256
 TLS_ECDH_RSA_WITH_CAMELLIA_256_CBC_SHA384    ECDH-RSA-CAMELLIA256-SHA384

Para responder a su pregunta planteada a través de su comentario a la otra respuesta, se usa un certificado simplemente para demostrar que posee la clave pública que pretende que es suya.

    
respondido por el user45139 13.08.2015 - 15:08
fuente

Lea otras preguntas en las etiquetas