0

これが私の状況です:

  • 配布するクライアント アプリケーションがあります。これを MyClient と呼びます。
  • MyClient は、サーバーの 1 つと SSL 通信を行います。
  • MyClient にはルート CA が組み込まれているため、サーバー証明書を適切に検証できます。

さて、何年か経ち、ルート CA が期限切れになり、更新されたとします。

これは、MyClient にパッチを適用する必要があるということですか?

つまり、証明書の有効期限を変更すると、MyClient に組み込まれているルート CA と一致しなくなりますか?

補遺:証明書の日付を検証しないようにクライアントを作成するとします(ただし、それ以外はすべて)。その後、ルート CA の有効期限が切れて再発行された場合、パッチを適用する必要はありますか? 日付以外に、検証に関与する他の部分は変更されますか?

4

1 に答える 1

1

クライアントが SSL サーバー証明書が特定のルート CA によって発行され、そのルート CA がクライアントに含まれていることを確認している場合は、クライアントにパッチを適用してルート CA 証明書を置き換える必要があります。

これを行う良い方法はほとんどありません。起こりがちなのは、ルート CA 証明書の有効期間が非常に長く、有効期間が短い中間 CA を使用して SSL 証明書を発行することですが、ここではそうではないようです。

明るい面を見ると、古いルート CA 証明書でどのアルゴリズムが使用されていたかはわかりませんが、新しいルート CA 証明書ではより大きなキー (1024 ビットや 512 ビットではなく 2048 ビットの RSA) が使用されることを願っています。より優れたハッシュ アルゴリズム (MD5 ではなく SHA1 またはそれ以上) であるため、セキュリティを強化する良い機会になる可能性があります。

于 2012-08-31T12:16:11.347 に答える