我可以使用sha1或256替换md5签名的SSL/TLS根证书而无需重新签署中间/最终证书吗？

Question

我有一个用sha1签名的SSL/TSL证书。但是，来自thwatke的根证书是使用旧的和易受攻击的md5算法签署的。更新企业应用程序后，我得到一个错误，因为使用md5的根证书。

现在我必须更换一个SHA1或SHA256（这是新的和更安全），该应用程序再次运行根证书。

是否有可能只是它由SHA1签名或做我需要重建整个链上的版本来替换thwatke的根证书？可以为我做这个吗？我买了证书只是在几个月前...

Answer 1

要验证证书的签名问题的公钥使用。只要这个密钥是相同的，签发者算法用于签发者证书就无关紧要。 CA在证书中为使用不同签名算法签名的不同证书拥有相同的公钥并不少见。但由于您不知道您正在谈论哪些特定证书，您必须检查自己是否拥有相同的公钥。

更新企业应用程序后，我得到一个错误，因为根证书使用md5。

这是奇怪的，或在应用程序错误。根证书是可信的，因为它位于信任库中，而不是因为它的签名。因此，签名算法根本不重要，因为根证书的签名不需要验证。