Certificado - Huella digital vs Firma [duplicado]

La "huella digital" (o "huella digital") NO forma parte de un certificado. Se calcula mediante algún software (por ejemplo, Windows) como un hash del certificado completo (incluida la firma).

El punto de la huella digital es servir como un identificador manejable por humanos para el certificado. Por ejemplo, cuando importa un certificado en el almacén de "raíz confiable" de un sistema Windows, aparece una ventana emergente que muestra la huella digital del certificado y le pide que verifique si este es el valor correcto. Se supone que el usuario que está importando ese certificado debe comparar la huella digital con un valor de referencia (por ejemplo, un documento impreso firmado por CA sysadmin); la comparación de dos valores hexadecimales de 40 caracteres no es la cumbre de la convivialidad de la interfaz de usuario, pero aún es mucho más factible que verificar la codificación hexadecimal de 2000 caracteres de un certificado completo.

El objetivo de tal comprobación es asegurarse de que lo que se importa es el certificado de CA raíz genuino, no uno falso que fue sustituido por un atacante malicioso. Gracias a la comprobación de huellas digitales, la forma en que se transportó el certificado se vuelve irrelevante (por ejemplo, podría enviarse a través de HTTP simple o incluso en un correo electrónico).

El uso de la huella digital de esa manera es seguro siempre que la huella digital se calcule con una función criptográfica hash que ofrezca una resistencia de segunda preimagen. Hasta donde sabemos, este sigue siendo el caso de SHA-1 (SHA-1 tiene debilidades teóricas conocidas con respecto a las colisiones, pero las colisiones no son relevantes aquí).