我可以使用sha1或256替換md5簽名的SSL/TLS根證書而無需重新簽署中間/最終證書嗎？

Question

我有一個用sha1簽名的SSL/TSL證書。但是，來自thwatke的根證書是使用舊的和易受攻擊的md5算法簽署的。更新企業應用程序後，我得到一個錯誤，因爲使用md5的根證書。

現在我必須更換一個SHA1或SHA256（這是新的和更安全），該應用程序再次運行根證書。

是否有可能只是它由SHA1簽名或做我需要重建整個鏈上的版本來替換thwatke的根證書？可以爲我做這個嗎？我買了證書只是在幾個月前...

Answer 1

要驗證證書的簽名問題的公鑰使用。只要這個密鑰是相同的，簽發者算法用於簽發者證書就無關緊要。 CA在證書中爲使用不同簽名算法簽名的不同證書擁有相同的公鑰並不少見。但由於您不知道您正在談論哪些特定證書，您必須檢查自己是否擁有相同的公鑰。

更新企業應用程序後，我得到一個錯誤，因爲根證書使用md5。

這是奇怪的，或在應用程序錯誤。根證書是可信的，因爲它位於信任庫中，而不是因爲它的簽名。因此，簽名算法根本不重要，因爲根證書的簽名不需要驗證。