Vulnerabilidad de colisión de firma de certificado X.509

4

El cliente se quejó de que durante el análisis de seguridad realizado en nuestra aplicación, surgió lo siguiente:

172.22.0.19 - xxxxx - IETF X.509 Certificate Signature Collision Vulnerability - https/tcp/172.22.0.19/50000

El almacén de claves (formato JKS) solo tiene un certificado autofirmado.

Cuando miro el almacén de claves y la información del certificado, veo lo siguiente:

El algoritmo de firma es SHA1withRSA (no MD5), entonces, ¿por qué el análisis generó este problema? ¿Está relacionado con las huellas digitales del certificado?

Gracias

    
pregunta danieln 17.12.2015 - 14:35
fuente

1 respuesta

4

Eso realmente depende de qué reglas se usaron para activar la advertencia y usted no nos dio información sobre eso.

Sin embargo, es posible que su problema sea que tiene un certificado firmado con SHA-1 que se está eliminando. Dicho esto, no tiene mucho sentido: cuando se utiliza un certificado autofirmado (o certificados raíz), el hash nunca se usa para validar nada.

Por lo tanto, debería volver con la gente que le envió su notificación y preguntarles qué significan: si comienzan a hablar sobre el "algoritmo de hash de la firma del certificado", puede decirles que no se aplica en su caso. ya que este es un certificado autofirmado.

Editar : como se solicitó, aquí hay una referencia:

RFC 5280, sección 4.1.1.2 (la que define el estándar X.509v3) define el campo "signatureAlgorithm" de esta manera:

  

El campo signatureAlgorithm contiene el identificador para el      algoritmo criptográfico utilizado por la CA para firmar este certificado.

Esto significa que los certificados que, en el caso de certificados que NO están firmados por una CA (porque son certificados de CA o simplemente autofirmados), este campo no tiene significado.

    
respondido por el Stephane 17.12.2015 - 14:50
fuente

Lea otras preguntas en las etiquetas