ssl – ¿Por qué todos los certificados raíz de CA están firmados con SHA-1 (dado que SHA-1 está obsoleto)?

Pregunta:

Entiendo que los certificados SSL ya no se pueden firmar con SHA-1. Sin embargo, todos los certificados raíz de CA están firmados por SHA-1 (en su mayoría). ¿Significa que el mismo algoritmo que ya no es de confianza para "tu abuela tienda SSL" está bien para el certificado de máxima seguridad del mundo?

¿Me estoy perdiendo de algo? (¿uso de clave? ¿tamaño de clave?)

Respuesta:

La firma de los certificados de la CA raíz no importa en absoluto, ya que no es necesario verificarlos. Todos están autofirmados.

Si confía en un certificado de CA raíz, no es necesario verificar su firma. Si no confía en él, su firma no tiene valor para usted.

Editar: hay algunos comentarios muy relevantes a continuación. No me siento cómodo al copiarlos o reformularlos y atribuirme el mérito de ellos en lugar de sus autores. Pero agradezco a la gente que agregue explicaciones a esta respuesta.

Leave a Comment

Your email address will not be published.

Scroll to Top

istanbul avukat

-

web tasarım