PKI: problemas de seguridad al cambiar un algoritmo hash de certificado

Navega tus respuestas
1

Supongamos que quiero cambiar el algoritmo hash utilizado para una firma de certificado (por ejemplo, SHA1 a SHA2).

¿Es mejor revocar el certificado anterior y emitir uno nuevo con el algoritmo hash esperado? ¿O es posible simplemente empujar una nueva CSR con el mismo certificado de firma, pero esperando que se use otro? ¿Qué pasa con la raíz o la CA intermedia?

Supongo que incluso si es factible, puede tener problemas de seguridad. ¿Existen prácticas recomendadas con respecto a este caso en particular?

    
pregunta crypto-learner 01.12.2014 - 23:24
fuente

1 respuesta

1

Algunas CA no permitirán dos certificados con el mismo SubjectDN, por lo que el nuevo reemplazaría al anterior. Si no hay ninguna razón para creer que el certificado anterior tenía su PrKey comprometida, no es necesario revocarla antes de firmar e instalar el reemplazo. Hable con los operadores de su CA, especialmente con el personal que actúa como RA, ya que estarían mejor informados de su política y del BCP.

    
respondido por el DTK 02.12.2014 - 05:03
fuente

Lea otras preguntas en las etiquetas

¿Cómo detener el spam de gmail después de conectarse a una wifi pública sin VPN en Android? paquetes DNS durante el envenenamiento ARP