Подновете SSL root CA сертификат - клиентските програми в природата се нуждаят от актуализация?

Ето моята ситуация:

  • Имам клиентско приложение, което ще разпространявам - ще го наречем MyClient.
  • MyClient осъществява известна SSL комуникация с един от нашите сървъри.
  • В MyClient е вграден root CA, така че може да извърши правилна проверка на сертификата на сървъра.

Сега, да предположим, че минат няколко години, основният CA изтича и се подновява.

Това означава ли, че трябва да закърпя MyClient в природата?

С други думи, промяна в датите на валидност на сертификата ще доведе ли той вече да не съответства на вградения основен CA в MyClient?

Допълнение: Да предположим, че пиша на моя клиент да не потвърждава датата на сертификата (но всичко останало). След това, когато основният CA изтече и бъде повторно издаден, трябва ли пак да правя корекция? Ще се променят ли други части, които участват в валидирането, освен датата?


ssl certificate ssl-certificate x509
person jwd    schedule 30.08.2012    source източник

Отговори (1)


arrow_upward
1
arrow_downward

Ако вашият клиент гарантира, че сертификатът на SSL сървъра е издаден от конкретен основен CA и този root CA е включен в клиента, тогава да, ще трябва да коригирате клиента си, за да замените основния CA сертификат.

Има няколко добри начина да направите това. Това, което обикновено се случва, е, че основните CA сертификати са много дълготрайни и използват по-краткотрайни междинни CA за издаване на SSL сертификати, но изглежда, че случаят тук не е такъв.

Гледайки от добрата страна, не знам какви алгоритми са използвани със стария основен CA сертификат, но се надяваме, че новият основен CA сертификат ще използва по-голям ключ (2048-битов RSA вместо 1024-битов или 512-битов) и по-добър алгоритъм за хеширане (SHA1 или по-добър от MD5), така че може да е добра възможност за повишаване на сигурността.

person akton    schedule 31.08.2012
comment
Трябва да добавя: ако настроя моя клиент да не проверява датите, ще мога ли да го оставя без корекция, дори ако основният CA сертификат е актуализиран? С други думи, дали валидните дати са единствените неща, които ще се променят при повторно издаване, или всичко се променя? - person jwd; 31.08.2012
comment
Ако не потвърдите датата, тогава няма да е необходимо да издавате нов сертификат и няма да е необходимо да правите корекции на вашите клиенти. Някои продукти, които използват цифрови сертификати за постоянно лицензиране, правят това. - person akton; 01.09.2012
comment
Само за да бъде ясно: основният CA е извън моите правомощия в този случай. Той ще изтече и ще бъде издаден отново. Но ако моят клиент не потвърждава датите, ще трябва ли пак да се коригира? - person jwd; 03.09.2012
comment
Ако трябва да поддържате сертификати, използвани от новия CA, ще трябва да коригирате клиента си, за да приема сертификати и от двата CA. Въпреки това, няма да е необходимо да го преиздавате за изтичане, ако не проверите датите. Може също да искате да потвърдите, че библиотеката със сертификати, която използвате, поддържа изтекъл основен CA. Много от тях имат опции за игнориране на периодите на валидност на крайните сертификати, но могат или не могат да игнорират датите на основния сертификат. - person akton; 03.09.2012