Eu li:
By default, OpenSSL cryptographic tools are configured to make SHA1 signatures. for example, if you want to generate a SHA256-signed certificate request (CSR) , add in the command line: -sha256
Fui solicitado a atualizar um certificado SHA1 existente para SHA256. Gerei um novo CSR e enviei-o para o RapidSSL, antes de perceber que não havia especificado -sha256 no CSR.
Entrei em contato com eles e eles dizem "um substituto para um certificado Sha2 foi feito e o estado atual do pedido está aguardando aprovação. Quando o pedido for aprovado, o novo certificado será emitido com o algoritmo SHA2 "
A minha pergunta é, é possível para eles obterem o meu CSA SHA1 e dizer "ok, estamos a fornecer-lhe um certificado SHA256 de qualquer forma, porque é tudo o que fazemos agora"? E esse certificado funcionará com a chave privada que geramos correspondente a esse SHA1 CSR?
Como isso funciona? Quando eu passo em -sha256 (ou quando não o faço) no momento de gerar um CSR, o que isso afeta, além de apenas fazer uma anotação no CSR dizendo "ei, essa pessoa quer criptografia SHA256 em seu certificado" ? Isso afeta a chave privada gerada de alguma forma?
É possível porque a assinatura de um CSR é usada apenas para provar que você é realmente o proprietário da chave privada que corresponde à chave pública incorporada no CSR. Uma vez que a CA (RapidSSL no seu caso) decide que o CSR é válido, sua assinatura se torna sem sentido para o processo adicional de criação do certificado e é efetivamente descartada.
Para ver os detalhes completos sobre o que está em um certificado, consulte rfc5280-4.1.2