Certificados: ¿qué hay de volver a firmar los certificados de CA intermedios?

Navega tus respuestas
0

Estoy pensando en este problema y es difícil estimar los impactos técnicos.

Por cualquier motivo relevante, uno quiere modificar uno el campo x509 de una CA intermedia. Esta CA intermedia fue firmada por la CA raíz y ya ha emitido algunos certificados finales.

Quiero que la CA raíz firme nuevamente este certificado intermedio porque un campo se modificó (incluso un campo inútil), por lo que el certificado produjo un nuevo hash, y la raíz crea una nueva firma. Supongamos que reemplaza el antiguo por el nuevo certificado (su nueva firma), lo que está sucediendo:

  • ¿Sigue siendo válido el certificado intermedio? Supongo que es como la firma es válida (incluso si es "nueva") y podemos verificarla con el certificado raíz.

Además, como la clave pública intermedia nunca ha cambiado, los certificados finales siguen siendo válidos y podemos verificarla (con clave pública intermedia).

Obviamente, el contenido del certificado intermedio ha cambiado, pero aún podemos usarlo ya que está firmado por Root, y su clave pública sigue siendo la misma.

Supongo que hay impactos que no puedo ver.

    
pregunta crypto-learner 05.12.2014 - 00:11
fuente

2 respuestas

1

La firma se realizará solo con la clave, por lo que mientras no se cambie la clave, todas las firmas realizadas por este certificado seguirán siendo válidas. Pero, al construir la cadena de confianza para un certificado, mirará el campo del emisor de certificados y luego buscará un certificado que tenga a este emisor como el sujeto. Solo después de encontrar un certificado (o varios) con este tema esperado, los utilizará para verificar la firma.

Esto significa que debería poder cambiar cualquier información en el certificado siempre que la clave pública y el sujeto permanezcan iguales.

    
respondido por el Steffen Ullrich 05.12.2014 - 07:18
fuente
0

Entonces, ¿cómo hace una CA intermedia para cambiar un campo, sin tener que volver a emitir todos los certificados?

Hace una firma cruzada con su clave antigua

(--placeholder - me encantaría ver una gran respuesta sobre cómo funciona la firma cruzada, o lo preguntaré de manera clara y clara)

    
respondido por el random65537 05.12.2014 - 00:33
fuente

Lea otras preguntas en las etiquetas

¿Hay algún problema de seguridad si envié el token de seguridad, emitido desde un IdP de confianza, a Java? ¿La firma digital es vulnerable en Internet?