¿El soporte heredado de la cadena intermedia y la raíz cruzada GeoTrust SHA-256 se excluye mutuamente?

1

He comprado un GeoTrust TrueBusiness ID SHA-256 con el certificado EV SSL.

Según el sitio web de GeoTrust, también debo instalar el certificado intermedio correspondiente , que es "GeoTrust EV SSL CA - G4".

Ahora, a su vez, GeoTrust EV SSL CA - G4 es emitido por la "Autoridad de certificación primaria de GeoTrust".

Parece que esta CA raíz no está presente en muchos sistemas Windows 7 y dispositivos móviles Android. En tales sistemas, las dos únicas CA raíz de GeoTrust instaladas son "GeoTrust Global CA" y "Equifax Secure Certificate Authority".

En estos casos, el navegador muestra la advertencia "este sitio no es seguro" y debe agregar manualmente una excepción para continuar navegando. Entiendo que esto es así porque no hay una CA raíz válida para validar el certificado.

Para resolver esto (es decir, soporte para sistemas que no tienen la "Autoridad de Certificación Primaria de GeoTrust" entre sus CA disponibles), el sitio web de GeoTrust dice lo siguiente:

Si necesita ser compatible con navegadores, sistemas operativos, aplicaciones personalizadas y dispositivos que no cuentan con la Autoridad de Certificación Primaria de GeoTrust, instale el certificado cruzado junto con el límite intermedio anterior. Haga clic aquí

Cuando sigue ese enlace, va a la página de descarga de certificados de raíz cruzada, que cruza la "Autoridad de Certificación Primaria de GeoTrust" con la "Autoridad de Certificación Segura de Equifax", que parece ser la raíz más heredada (y, por lo tanto, ampliamente admitida) CA.

Hasta ahora, todo bien. Pero hay una advertencia. Este certificado de raíz cruzada solo viene en una versión SHA-1 . Así que ahora, en los sistemas más nuevos, el navegador muestra una advertencia porque hay certificados inseguros (SHA-1) como parte de la cadena.

¿Esto significa que esta es una compensación inevitable? ¿Debo elegir entre dejar de lado a los usuarios heredados que no tienen la CA raíz más nueva en su tienda de confianza y los usuarios más nuevos con sistemas que solo aceptan cadenas SHA-256 completas?

¿Es este un problema más comercial que técnico? (¿Debería comprar otro certificado, quizás más caro y compatible?). ¿Estoy entendiendo mal algo aquí?

¡Gracias!

    
pregunta jotadepicas 22.07.2016 - 20:39
fuente

0 respuestas

Lea otras preguntas en las etiquetas