더 이상 SHA-1을 사용하여 SSL 인증서에 서명 할 수 없음을 이해합니다. 그러나 모든 CA 루트 인증서에는 SHA-1 서명 (대부분)이 있습니다. 더 이상 "You grandma SSL shop"에서 신뢰할 수없는 동일한 알고리즘이 세계 최고의 보안 인증서에 적합하다는 의미입니까?
뭔가 빠졌습니까? (키 사용법? 키 크기?)
더 이상 SHA-1을 사용하여 SSL 인증서에 서명 할 수 없음을 이해합니다. 그러나 모든 CA 루트 인증서에는 SHA-1 서명 (대부분)이 있습니다. 더 이상 "You grandma SSL shop"에서 신뢰할 수없는 동일한 알고리즘이 세계 최고의 보안 인증서에 적합하다는 의미입니까?
뭔가 빠졌습니까? (키 사용법? 키 크기?)
답변:
루트 CA 인증서의 서명은 확인할 필요가 없으므로 전혀 중요하지 않습니다. 그들은 모두 자기 서명입니다.
루트 CA 인증서를 신뢰하는 경우 서명을 확인할 필요가 없습니다. 당신이 그것을 신뢰하지 않으면, 그 서명은 당신에게 가치가 없습니다.
편집 : 아래에 매우 관련있는 의견이 있습니다. 나는 그것들을 복사하거나 바꾸거나 저자 대신에 그들을 대변하는 것을 느낀다. 그러나 나는 사람들 이이 답변에 설명을 추가하는 것을 환영합니다.
하루가 끝나면 루트 인증서가 자체 서명됩니다. 자체를 제외하고 다른 엔티티가 서명하지 않습니다. 루트 인증서는 신뢰할 수있는 게시자의 브라우저 목록에 제출하거나 Microsoft에서 기본 Windows 신뢰할 수있는 게시자 목록에 삽입하도록 허용하는 등의 대역 외 프로세스를 통해 신뢰를 얻습니다.
이 인증서 (및 자체 서명 한 회사)는 단순히 서명 이외의 다른 수단을 통해 철저하게 조사됩니다.
중요한 것은 SHA-1이 루트에 서명 한 경우 SHA-1에 의해 취소 될 수 있다는 것입니다. 즉, SHA-1을 공격 할 수있는 사람은 루트에 대한 해지를 구성 할 수 있습니다. 그리고 브라우저가이를 유지하는 방법을 알지 못하므로 파괴자는 SSL 연결을 끊는 것 이상을 달성하지 못했습니다. 절름발이
있습니다 시대 대부분 2006 또는 이전, 아주 오래된 이미 고정 된 신뢰 SHA1 루트 브라우저에서 허용 인증서 있지만 어떤 새로운 인증서. Firefox와 Chrome이 한 자리 숫자를 사용하여 버전이 지정된 시점을 기억하십니까?
루트 CA가 Not Before가 2014 이후로 설정된 SHA1 인증서를 사용하는 경우 인증서가 실패합니다. 실제 날짜 제한은 브라우저 또는 다른 응용 프로그램에 따라 다릅니다. WebCA cabforum은 몇 년 전에 이것을 분명히했습니다. 다음을 통해 직접 테스트하십시오.