Pensé que no era un requisito, pero no puedo encontrar nada que confirme de una manera u otra.
No. Esto no es un requisito técnico. Los CA pueden hacer lo que quieran. Pueden emitirle un certificado si envía sus datos escritos en el reverso de una servilleta de barra, si así lo desean. No hay nada técnico para detenerlos.
¿Se requiere una firma SHA-256 en una CSR para generar un certificado firmado con la firma SHA-256?
No. Mientras tanto, la mayoría de las CA están predeterminadas a los hashes de tipo SHA-2 de la familia de todos modos y, en realidad, tiene que declarar específicamente que quiere un certificado SHA1 en su lugar.
Pero hace aproximadamente un año, esta pregunta generó mucha confusión.
De acuerdo con el útil, pero con un nombre terrible, el sitio web
enlace
De hecho, hay un CA:
- Gandi ahora usa SHA-2 para los certificados que expiran después del 1 de enero de 2017. Para los certificados que expiran antes de eso, usted debe generar un CSR con SHA-2.
Y, de hecho, el sitio web de CA dice :
Hasta el 1 de enero de 2016:
-
Los certificados con fecha de vencimiento posterior al 1 de enero de 2017 se emitirán solo como SHA-2, incluso si la CSR se generó con SHA-1.
-
Los certificados con fechas de vencimiento anteriores se emitirán como SHA-1 si el CSR se generó con SHA-1
-
Los certificados con fechas de vencimiento anteriores se emitirán como SHA-2 si el CSR se generó con SHA-2
P: ¿Por qué hacen eso?
A: De nuevo, no hay razón técnica. Es solo una convención / cosa de organización menos útil para ellos. Creo que esto es algo similar a esta idea hipotética: si desea solicitar una Tarjeta verde para trabajar en los EE. UU., Se le puede solicitar que envíe su solicitud en una hoja de papel verde . Nada técnico en eso. Proceso organizativo puro. Es solo un bit de datos (SHA2? ON / OFF) que de otra manera tendrían que ser transferidos de una manera diferente. (Diga como una casilla de verificación en el sitio web).
Preguntas relacionadas