Como resultado de seguir las guías de Internet un poco demasiado cerca, la PKI interna de mi empresa ahora tiene un certificado intermedio con el número de serie "10 00".
En comparación con otros certificados, donde el número de serie es un valor hexadecimal bastante largo, me pregunto si he creado un certificado de calidad inferior.
Nuestra CA raíz es un simple servidor Debian sin conexión, que produjo el certificado raíz con OpenSSL. Luego creé una autoridad de certificación intermedia (Windows Server 2012R2 vinculada a Active Directory), y creé una CSR a partir de eso. Al crear el certificado en la CA raíz, se produjo este certificado "10 00", que ahora se distribuye a través de Active Directory.
Como este certificado pertenece a la CA emisora, el número de serie de los certificados que produce es impredecible . También es el certificado only de RootCA que tendrá ese número de serie; Cualquier certificado posterior firmado por nuestra Raíz tendrá números de serie más largos.
¿He introducido vulnerabilidades o insuficiencias en nuestra PKI con este número de serie? ¿Vale la pena el tiempo para sacarlo de la infraestructura de AD y comenzar de nuevo?
EDITAR: Los certificados en cuestión son RSA-4096, utilizando SHA256.