¿Debemos usar el certificado x509 V1 para una nueva CA raíz?

  

Mi pregunta es, ¿sigue siendo una norma hoy en día utilizar certificados v1 para certificados de raíz o autofirmados?

No, no y no. Para los certificados emitidos en los últimos 20 años, solo se utilizarán los certificados de la Versión 3 X.509.

  

¿Hay algún otro lugar donde se recomiende el uso de la versión 1?

no, no hay ninguna, a menos que necesite un software o hardware que no admita los certificados V3 (dudo que pueda encontrar uno que aún esté en uso activo y no pueda ser reemplazado).

V1 aún son compatibles con las bibliotecas de criptografía, pero son difíciles de usar, ya que el comportamiento del certificado puede variar en diferentes plataformas. Por ejemplo, es imposible determinar el tipo de sujeto del certificado, ¿es CA o entidad final? ¿Se permite firmar otros certificados? No hay tal información en los certificados V1. Y diferentes plataformas pueden tratarlos de manera muy diferente. Con V3 está claro: si se presenta la extensión Basic Constraints y se establece isCA bit en True - es un certificado de CA, de lo contrario es una entidad final.

Además, V1 hace que el motor de encadenamiento sea menos confiable, ya que solo se puede usar la coincidencia de nombre cuando se vinculan certificados en la cadena, por lo que se pueden construir muchas más cadenas y más posibilidades de que se seleccione una cadena inadecuada. V3 permite tanto a KeyMatch como a ExactMatch que producen menos cadenas ( ExactMatch produce solo una cadena en todos los casos) y es menos propenso a errores.

En otras palabras, los certificados V1 son historia del museo. Es posible que conozca las propiedades y características clave proporcionadas por los certificados V1, pero use solo V3.