更新SSL根CA证书 - 野外客户端程序需要更新？

Question

这里是我的情况：

• 我有我要分发客户端应用程序 - 我们叫它MyClient。
• MyClient与我们的一台服务器进行SSL通信。
• MyClient中嵌入了根CA，因此它可以对服务器证书进行适当的验证。

现在，假设有些年份过去了，根CA会过期，并被更新。

这是否意味着我需要在野外修补MyClient？

换句话说，证书上有效日期的更改是否会导致它不再与MyClient中的旧式根CA匹配？

附录：假设我写我的客户端不验证证书的日期（但其他所有内容）。然后，当根CA到期并重新发布时，我是否仍需要修补？除了日期之外，进入验证过程的其他部分是否会发生变化？

Answer 1

如果您的客户端确保SSL服务器证书由特定根CA颁发，并且根CA包含在客户端中，那么您需要修补您的客户端以替换根CA证书。

这样做的好处很少。通常会发生的情况是根CA证书的寿命很长，并且使用短寿命的中间CA来颁发SSL证书，但听起来像这里不是这种情况。看看光明的一面，我不知道什么算法与旧的根CA证书一起使用，但希望新的根CA证书有望使用更大的密钥（2048位RSA而不是1024位或512位）和更好的哈希算法（SHA1或更好，而不是MD5），所以它可能是增加安全性的好机会。