Posso obter um certificado SAS-256 quando o CSR é para SHA-1?

8

Eu li:

By default, OpenSSL cryptographic tools are configured to make SHA1 signatures. for example, if you want to generate a SHA256-signed certificate request (CSR) , add in the command line: -sha256

Fui solicitado a atualizar um certificado SHA1 existente para SHA256. Gerei um novo CSR e enviei-o para o RapidSSL, antes de perceber que não havia especificado -sha256 no CSR.

Entrei em contato com eles e eles dizem "um substituto para um certificado Sha2 foi feito e o estado atual do pedido está aguardando aprovação. Quando o pedido for aprovado, o novo certificado será emitido com o algoritmo SHA2 "

A minha pergunta é, é possível para eles obterem o meu CSA SHA1 e dizer "ok, estamos a fornecer-lhe um certificado SHA256 de qualquer forma, porque é tudo o que fazemos agora"? E esse certificado funcionará com a chave privada que geramos correspondente a esse SHA1 CSR?

Como isso funciona? Quando eu passo em -sha256 (ou quando não o faço) no momento de gerar um CSR, o que isso afeta, além de apenas fazer uma anotação no CSR dizendo "ei, essa pessoa quer criptografia SHA256 em seu certificado" ? Isso afeta a chave privada gerada de alguma forma?

    
por joshua.paling 06.01.2016 / 23:30

1 resposta

5

É possível porque a assinatura de um CSR é usada apenas para provar que você é realmente o proprietário da chave privada que corresponde à chave pública incorporada no CSR. Uma vez que a CA (RapidSSL no seu caso) decide que o CSR é válido, sua assinatura se torna sem sentido para o processo adicional de criação do certificado e é efetivamente descartada.

Para ver os detalhes completos sobre o que está em um certificado, consulte rfc5280-4.1.2

    
por 07.01.2016 / 04:12