¿Cuáles son las implicaciones de compatibilidad de generar una nueva clave TLS?

1

La guía que estoy siguiendo dice que use openssl genrsa para generar una clave TLS, lo cual hice. He cambiado el comando de generación de CSR para usar SHA256 en lugar de SHA1, pero aún no estoy seguro de si esta es la solución óptima.

Los clientes más antiguos que me gustaría apoyar son Windows XP con SP3 ( cries ) y Android 2.3 (preferiblemente, pero realmente no necesito esto), o si eso causa un gran dolor, Android 4.0.

¿Cuál es el tipo de clave óptimo para esto? Asumo RSA, pero las claves ECDSA también se ven bien (excepto por problemas de compatibilidad).

    
pregunta strugee 17.11.2014 - 04:32
fuente

1 respuesta

1

Todo el mundo usa RSA. Si se apega a RSA, su certificado debería ser aceptable en todas partes. Utilice un tamaño de clave de 2048 bits. ECDSA es ingenioso y muy inconformista, pero aún no funcionará en todas partes.

Una clave RSA es una clave RSA. Sin embargo, un certificado también es un objeto firmado, y un algoritmo de firma comienza con algo de hash. Por lo tanto, un certificado contendrá referencias a una función hash. Aparentemente, algunos navegadores modernos han decidido gritar, lamentarse y gritar cuando ven "SHA-1" en un certificado; por lo tanto, para evitar el abandono de la moda, debe usar SHA-256. Esto debería funcionar en XP desde SP3 (pero no antes). Tenga cuidado de que se trate de la firma en el certificado, por lo que realmente es el problema de la Autoridad de Certificación el que firma su certificado.

Si firma su solicitud de certificado con SHA-1 o SHA-256 como función hash de soporte, no debería importar. La CA extrae la clave pública de su solicitud, la inserta en el nuevo certificado y luego usará SHA-1 o SHA-256 dependiendo de su configuración, independientemente de lo que haya usado para firmar la solicitud. Al menos así es como se supone que CA funciona; algunas CA hacen cosas raras a veces.

    
respondido por el Thomas Pornin 23.11.2014 - 14:44
fuente

Lea otras preguntas en las etiquetas