Kann ich ein md5-signiertes SSL/TLS-Stammzertifikat durch ein sha1 oder ein 256 ersetzen, ohne das Zwischen-/Endzertifikat erneut zu signieren?

Question

Ich habe ein SSL/TSL-Zertifikat, das mit sha1 signiert ist. Das Root-Zertifikat von Thwatke ist jedoch mit dem alten und anfälligen MD5-Algorithmus signiert. Nach dem Aktualisieren einer Enterprise-Anwendung habe ich einen Fehler erhalten, weil das Stammzertifikat md5 verwendet.

Jetzt muss ich das Stammzertifikat durch ein sha1 oder sha256 ersetzen (das neuer und sicherer ist), dass die Anwendungen erneut ausgeführt werden.

Ist es möglich, das Stammzertifikat von thwatke einfach durch eine Version zu ersetzen, die von sha1 signiert ist, oder muss ich die gesamte Kette neu erstellen? Kann Thwatke das für mich tun? Ich habe das Zertifikat erst vor einigen Monaten gekauft ...

Answer 1

Um eine Signatur eines Zertifikats zu überprüfen, wird der öffentliche Schlüssel des Problems verwendet. Solange dieser Schlüssel derselbe ist, spielt es keine Rolle, welcher Signaturalgorithmus für das Ausstellerzertifikat verwendet wird. Es ist nicht ungewöhnlich, dass CA in einem Zertifikat denselben öffentlichen Schlüssel für unterschiedliche Zertifikate hat, die mit unterschiedlichen Signaturalgorithmen signiert sind. Da jedoch nicht bekannt ist, über welche spezifischen Zertifikate Sie sprechen, müssen Sie selbst prüfen, ob diese den gleichen öffentlichen Schlüssel haben.

Nach dem Aktualisieren einer Enterprise-Anwendung, habe ich einen Fehler, weil das Stammzertifikat mit MD5.

Das ist seltsam oder ein Fehler in der Anwendung. Ein Stammzertifikat ist vertrauenswürdig, da es sich im Vertrauensspeicher befindet und nicht aufgrund seiner Signatur. Daher sollte der Signaturalgorithmus überhaupt keine Rolle spielen, da die Signatur eines Wurzelzertifikats nicht verifiziert werden muss.