Вопрос: Почему корневые сертификаты CA все подписаны SHA-1 (поскольку SHA-1 устарел)?


Я понимаю, что SSL-сертификаты не могут быть подписаны с использованием SHA-1. Тем не менее, все корневые сертификаты CA являются подписанными SHA-1 (в основном). Означает ли это тот же алгоритм, которому больше не доверяют «вы, бабушка SSL-магазин», отлично подходит для самого высокого гарантированного сертификата мира?

Я что-то упускаю? (ключевой размер ключа?)


65
2018-03-13 15:09


Источник


Неверно, что «все» корневые сертификаты CA - SHA1. - Greg Askew
Корневые сертификаты похожи на исходные предположения в мировоззрении. Он верит, чтобы доверять им. - Roy Tinker
@RoyTinker за исключением Мыслю, следовательно, существую (см. радикальное сомнение, и это ответ: Декартовы скептицизм)? - Nick T
Кросс-стек: security.stackexchange.com/questions/120301/... а также superuser.com/questions/1122069/... - dave_thompson_085
@NickT: играть в нее безопасно - cogito ergo cogito ;-) - tonysdg


Ответы:


Подпись корневых сертификатов ЦС не имеет значения, так как нет необходимости их проверять. Все они самозаверяются.

Если вы доверяете корневому сертификату ЦС, нет необходимости проверять его подпись. Если вы не доверяете ему, его подпись бесполезна для вас.

Изменить: есть некоторые очень важные комментарии ниже. Я не чувствую себя комфортно, копируя или перефразируя их и беря за них кредит, а не их авторов. Но я приветствую людей, чтобы добавить объяснения к этому ответу.


105
2018-03-13 15:16



Приводит вопрос о том, почему они вообще подписаны - Richard Tingle
Потому что система не поддерживает сертификаты, которые не подписаны. - OrangeDog
Мне кажется, что проблема с трещинным корневым сертификатом - это не «вы не знаете, откуда у вас есть корневой сертификат», а скорее «вы не знаете, кто еще смог взломать этот сертификат и использовать его подписать все, что захочет ». И, кажется, из вашего ответа, что два (сертификат и подписывание сертификата) являются отдельными проблемами, и что сам сертификат является надлежащим образом защищенным и неподъемным? - Dewi Morgan
Я бы пошел еще дальше, чем «нет необходимости проверять их». Целью подписи в цепочке сертификатов является то, что высший орган сертифицирует более низкий орган. Для корневого ЦС нет более высоких полномочий по определению (вот что означает «корень»), так что никто не может подписывать сертификат, Поскольку, как уже упоминалось, сертификаты должен подписываться, корневые ЦС подписаны с «фиктивной» подписью, а самый простой способ сделать это - самоподписываться. Таким образом, не только нет необходимости проверять, идея проверки подписи корневого СА нечувствительна. - Jörg W Mittag
@DewiMorgan. Вы не можете «взломать» корневой сертификат с помощью хеш-коллизии, потому что клиент доверяет сам сертификат, а не его (само-) подпись. Вам придется восстановить закрытый ключ, который является атакой на RSA, а не хэш-алгоритмом. - zwol


В конце дня корневой сертификат самоподписан. Он никогда не подписывается другим сущностью, кроме самого себя. Корневой сертификат получает доверие за счет внеполосных процессов, таких как отправка его в список доверенных издателей браузеров или его принятие Microsoft для внесения в список доверенных издателей Windows по умолчанию.

Эти сертификаты (и компании, которые их подписывают) (предположительно, надеюсь) тщательно проверяются с помощью других средств, а не только их подписи.


45
2018-03-13 15:17



Не говоря уже о том, что обновление корневого сертификата требует повторного прохождения этого внеполосного процесса. - Kaithar
+1 для «предположительно, надеюсь», - Nathan Osman


Единственный случай, когда это имеет значение, - это если корень подписан SHA-1, он может быть отозван SHA-1. То есть, кто-то, кто может атаковать SHA-1, может создать аннулирование для корня. И я абсолютно уверен, что браузер не знает, как упорствовать в этом, поэтому вандал выполнил не более, чем отказ от SSL-соединений. Как хромой.


7
2018-03-13 18:39



Это интересная мысль, но я сомневаюсь, что это будет работать именно так. Я предполагаю, что у каждого агента будет свое собственное уникальное поведение, но я сомневаюсь, что у разработчиков возникла идея, что список аннулирования будет использоваться для управления отзывом корневых сертификатов. По крайней мере, если это сработало в некоторых случаях, это было бы связано с абстракцией отзыва программного обеспечения, а не намеренно разработчиками. - Peter Oehlert


В качестве примечания к этому, НЕКОТОРЫЕ В любом случае ЦС уже обновили свои корневые и промежуточные сертификаты на SHA256.

Я знаю, что в прошлом году GlobalSign обновлял свои сертификаты, когда мы обновляли наши сертификаты подписи кода, поэтому мне тоже пришлось добавить их новую цепочку.

Вы можете проверить, какие специальные сертификаты были обновлены и какие из них обновлены, а также оставили устаревший сертификат SHA1 для здесь => 1

Надеюсь, это поможет.


1
2018-03-15 00:52





Для корневого ЦС вы доверяете открытому ключу CA, заключенному в CRT, независимо от его собственной подписи.

Описание CA с использованием формата файла .CRT вместо необработанного открытого ключа. PEM позволяет связать в нем более подробную информацию - например. Имя CA - (опять же, подпись бесполезна)


0
2018-03-16 19:30