CA Apache-Served vs CA Raiz Local - Qual Vitórias?

Navegue suas respostas
2

Atualmente, tenho dois servidores Apache em execução aqui e aqui , ambos usam SSL certificados assinados pelo StartSSL. Configuração do Apache SSL abaixo: 

  ## SSL directives
  SSLEngine on
  SSLCertificateFile      "/etc/certificates/thor.vikingserv.net/certificate.crt"
  SSLCertificateKeyFile   "/etc/certificates/thor.vikingserv.net/private.key"
  SSLCertificateChainFile "/etc/certificates/intermediate/startssl-class-1.crt"

O certificado do servidor e o certificado intermediário são SHA-256, mas o certificado da CA é SHA-256 na estação de trabalho do Linux, mas o SHA-1 no meu MacBook.

Eu poderia usar a diretiva SSLCACertificatePath dentro do Apache para forçar o certificado CA do SHA-256, mas isso substituiria o certificado raiz distribuído com o SO?

    
por Craig Watson 18.08.2015 / 22:44

1 resposta

2

Não, isso não aconteceria, porque se os clientes confiassem em um certificado raiz aleatório apresentado a eles, o ponto inteiro de um armazenamento confiável seria um tanto irrelevante.

Duas notas sobre sua pergunta:

  1. O algoritmo usado para assinar um certificado de âncora de confiança é irrelevante - a assinatura em si não é usada durante a validação.
  2. SSLCACertificatePath não ajudaria de qualquer maneira, já que essa diretiva é usada apenas na validação de certificados de clientes, o que não é o que você está fazendo.
por 19.08.2015 / 04:16

Tags

Ansible synchronize trava ao executar dentro de ssh com delegate_to Dovecot: homônimos de usuários virtuais e locais: acesso de correio para usuários com o UID 1000 não permitido