Mi pregunta es, ¿sigue siendo una norma hoy en día utilizar certificados v1 para certificados de raíz o autofirmados?
No, no y no. Para los certificados emitidos en los últimos 20 años, solo se utilizarán los certificados de la Versión 3 X.509.
¿Hay algún otro lugar donde se recomiende el uso de la versión 1?
no, no hay ninguna, a menos que necesite un software o hardware que no admita los certificados V3 (dudo que pueda encontrar uno que aún esté en uso activo y no pueda ser reemplazado).
Los certificados
V1 aún son compatibles con las bibliotecas de criptografía, pero son difíciles de usar, ya que el comportamiento del certificado puede variar en diferentes plataformas. Por ejemplo, es imposible determinar el tipo de sujeto del certificado, ¿es CA o entidad final? ¿Se permite firmar otros certificados? No hay tal información en los certificados V1. Y diferentes plataformas pueden tratarlos de manera muy diferente. Con V3 está claro: si se presenta la extensión Basic Constraints
y se establece isCA
bit en True
- es un certificado de CA, de lo contrario es una entidad final.
Además, V1 hace que el motor de encadenamiento sea menos confiable, ya que solo se puede usar la coincidencia de nombre cuando se vinculan certificados en la cadena, por lo que se pueden construir muchas más cadenas y más posibilidades de que se seleccione una cadena inadecuada. V3 permite tanto a KeyMatch
como a ExactMatch
que producen menos cadenas ( ExactMatch
produce solo una cadena en todos los casos) y es menos propenso a errores.
En otras palabras, los certificados V1 son historia del museo. Es posible que conozca las propiedades y características clave proporcionadas por los certificados V1, pero use solo V3.