Https efectos de cambio de certificado en canales seguros establecidos

1

Tengo una pregunta con respecto a los cambios de certificados https. ¿Alguien sabe algún efecto secundario al cambiar el certificado, uno firmado con RSASHA1 a uno firmado con RSASHA256 por ejemplo, mientras que los usuarios ya han establecido canales seguros con el certificado anterior?

Imagino que los nuevos usuarios, que solo están estableciendo sus canales seguros, solo recogerían el nuevo certificado y realizarían el intercambio de claves utilizando su clave pública, pero ¿qué pasa con los usuarios que ya tienen su protocolo de enlace SSL y el intercambio de claves realizado con el anterior? , y por alguna razón su canal seguro necesita ser restablecido, y el nuevo es recogido. Durante el restablecimiento, ¿es prácticamente un nuevo protocolo de enlace SSL sin ninguna dependencia del anterior?

También, tengo una pregunta más pequeña con respecto a la fijación de certificados. Si el nuevo certificado está firmado con un algoritmo diferente (RSASHA256 en mi ejemplo), ¿el proceso de anclaje del certificado es el mismo en todos los clientes (navegadores)? Lo que tengo, particularmente curioso es, ¿la identificación del certificado raíz, que asumo es nueva y no se ha fijado fuera de banda, solicita la participación de cualquier usuario? ¿O siempre se hará de forma automática, sin que el usuario del navegador lo sepa? ¿Y qué tanto riesgo es esto, si el proceso de anclaje del certificado está manchado con un ataque de hombre en el medio?

    
pregunta danutz_plusplus 09.03.2015 - 11:00
fuente

1 respuesta

1

El cambio de un certificado en un servidor web no es solo un ajuste de configuración básico. Por ejemplo, cambiar un certificado para un sitio web en apache requiere un reinicio completo.

Esto significa que las conexiones establecidas serán cortadas por el reinicio de todos modos. Supongamos que lo hace lo suficientemente rápido, la subsiguiente solicitud del usuario que estaba utilizando su sitio web tendrá que renegociar sus sesiones (ya que el servidor las habrá olvidado). Así que a partir de ahora se les entregará el nuevo certificado.

La fijación de certificados es por definición, una acción del lado del cliente (consulte ¿Qué es la fijación de certificados? ) el cambio de certificado requerirá un cambio de la identificación (a menos que haya marcado el certificado de firma que emite sus claves).

    
respondido por el M'vy 09.03.2015 - 11:38
fuente

Lea otras preguntas en las etiquetas