Respuesta del navegador al certificado firmado SHA1

Navega tus respuestas
1

Generé un certificado de servidor IIS usando mi autoridad de certificación de dominio (se presume que es un intermediario de la CA raíz "secreta") a través de los Certificados de servidor - > Crear un asistente de certificado de dominio. Ingresé el FQDN de mi servidor para el nombre común, completé el formulario restante y presioné Finalizar. El certificado se genera y se muestra como un certificado válido emitido por MYDOMAIN.FQDN y emitido a MYSERVER.FQDN. Cambié el enlace de 443 para usar este nuevo certificado.

Cuando visito el sitio usando:

Chrome: no me da el "mensaje emergente no confiable", pero sí pone una línea roja en la parte HTTPS de la URL y cuando verifico los detalles dice: "Este sitio usa una configuración de seguridad débil SHA-1 por lo que su conexión puede no ser privada "... reviso los detalles del certificado y, de hecho, es el mismo certificado TLS 1.0 que acabo de habilitar y veo a nuestro MYDOMAIN.FQDN como un certificado intermedio confiable en Chrome - > menú de certificados.

Firefox: aparece el mensaje emergente que dice "no puedo confirmar que tu conexión es segura" ... "El certificado no es confiable porque no se conoce el certificado del emisor" ... así que busco el MYDOMAIN.FQDN en El menú de certificados de Firefox y no está a la vista.

IE: me deja ver y veo a MYDOMAIN.FQDN como una autoridad de certificación intermedia de confianza.

Preguntas:

  • ¿Por qué Firefox no reconoce a MYDOMAIN.FQDN como un certificado intermedio de confianza ... no debería almacenarse a nivel del sistema operativo (y como miembro del dominio se aplica a todos los navegadores?)

  • Comprendo perfectamente el riesgo de usar SHA1 y las vulnerabilidades descubiertas ... ¿Google está tratando de que la gente deje de usar SHA1 al poner la línea roja (muy visible) a través de la URL?

  • ¿Hay una configuración en algún lugar de mi autoridad de certificado de dominio que se establezca de forma predeterminada en SHA2 o mejor hashs de firma ya que no vi una opción para el algoritmo de hash en el asistente "Crear certificado de dominio"? Supongo que podría pasar por Crear solicitud de certificado - > Emita en dos pasos y especifique el algoritmo hash.

¡Gracias!

    
pregunta brian 26.06.2015 - 19:10
fuente

1 respuesta

2

Para responder a las dos primeras viñetas:

  • Firefox tiene su propia lista de CA confiables. Puede agregar certificados en el botón Menú > Opciones > Avanzadas > Certificados (pestaña) > Ver Certificados > Autoridades (pestaña). Esto es para Firefox versión 38.
  • Sí, Google está tratando de avergonzar a las personas para que pasen de SHA1 a un hash más seguro, como SHA2. Aquí está la publicación del blog de chromium al respecto. También vea la nota en la parte inferior sobre SHA1 en los certificados de raíces que se tratan de manera diferente a SHA1 en certificados intermedios.

edit: Encontré algunos documentación oficial de Microsoft para usar SHA-2 en las CA subordinadas, así que la incluiré en mi respuesta.

  

Configuración de CA subordinadas para SHA-2

     

El hash elegido en la CA raíz determina cómo se firma el certificado de la CA subordinada, independientemente del CSP / KSP y se selecciona el hash durante la instalación de la CA subordinada (y se solicita en la solicitud de certificado de la CA subordinada). El hash solicitado en la solicitud de certificado se ignorará y los valores en el registro en la CA primaria prevalecerán.

     

Durante la instalación de la CA subordinada, el algoritmo de hash que selecciona en Seleccionar el algoritmo de hash para firmar los certificados utilizados por esta CA determina cómo se firman los certificados y CRL emitidos por la CA subordinada. Estos valores también se pueden cambiar utilizando las claves de registro indicadas anteriormente y se aplicarán después de reiniciar ADCS.

     

Para resumir, de forma predeterminada, el algoritmo hash seleccionado durante la instalación de una CA raíz determinará el hash utilizado para firmar el certificado propio de la CA raíz y todos los certificados y CRL que emita (aunque puede cambiar el algoritmo de firma utilizando los cambios del registro). después de que se genera el certificado de CA raíz). El hash indicado durante la instalación de la CA raíz firmará el certificado propio de la CA subordinada. Los certificados emitidos por la CA subordinada serán firmados por el hash seleccionado durante la instalación de la CA subordinada. Todos los cifrados seleccionados utilizados para firmar certificados de emisión y CRL pueden modificarse en el registro y, después de reiniciar ADCS, se aplicarán a todos los certificados y CRL emitidos en el futuro.

     

También es importante tener en cuenta que la versión de la plantilla de certificado o el cliente que solicita el certificado no tiene ningún impacto sobre si la CA firma con un hash en particular. El hash utilizado para firmar certificados digitales está determinado por los campos y valores enumerados anteriormente.

    
respondido por el Owen 26.06.2015 - 19:21
fuente

Lea otras preguntas en las etiquetas

Consulta sobre informes IPS autenticación de clave pública / privada y VPN