¿Debemos usar el certificado x509 V1 para una nueva CA raíz?

1

Leí un par de artículos que dan la impresión de que la norma es usar un pkc V1 x509 para una CA raíz. Este es uno de ellos. Sin embargo, el rfc5280 no hace tal sugerencia.

Mi pregunta es, ¿sigue siendo una norma hoy en día utilizar certificados v1 para certificados de raíz o autofirmados? ¿Hay algún otro lugar donde se recomiende el uso de la versión 1?

Gracias de antemano.

    
pregunta Chayan Ghosh 30.08.2018 - 16:21
fuente

1 respuesta

3
  

Mi pregunta es, ¿sigue siendo una norma hoy en día utilizar certificados v1 para certificados de raíz o autofirmados?

No, no y no. Para los certificados emitidos en los últimos 20 años, solo se utilizarán los certificados de la Versión 3 X.509.

  

¿Hay algún otro lugar donde se recomiende el uso de la versión 1?

no, no hay ninguna, a menos que necesite un software o hardware que no admita los certificados V3 (dudo que pueda encontrar uno que aún esté en uso activo y no pueda ser reemplazado).

Los certificados

V1 aún son compatibles con las bibliotecas de criptografía, pero son difíciles de usar, ya que el comportamiento del certificado puede variar en diferentes plataformas. Por ejemplo, es imposible determinar el tipo de sujeto del certificado, ¿es CA o entidad final? ¿Se permite firmar otros certificados? No hay tal información en los certificados V1. Y diferentes plataformas pueden tratarlos de manera muy diferente. Con V3 está claro: si se presenta la extensión Basic Constraints y se establece isCA bit en True - es un certificado de CA, de lo contrario es una entidad final.

Además, V1 hace que el motor de encadenamiento sea menos confiable, ya que solo se puede usar la coincidencia de nombre cuando se vinculan certificados en la cadena, por lo que se pueden construir muchas más cadenas y más posibilidades de que se seleccione una cadena inadecuada. V3 permite tanto a KeyMatch como a ExactMatch que producen menos cadenas ( ExactMatch produce solo una cadena en todos los casos) y es menos propenso a errores.

En otras palabras, los certificados V1 son historia del museo. Es posible que conozca las propiedades y características clave proporcionadas por los certificados V1, pero use solo V3.

    
respondido por el Crypt32 30.08.2018 - 17:05
fuente

Lea otras preguntas en las etiquetas