中間/終了証明書に再署名することなく、md5署名付きSSL/TLSルート証明書をsha1または256に置き換えることはできますか？

Question

私はsha1で署名されたSSL/TSL証明書を持っています。しかし、thwatkeのルート証明書は古い脆弱なmd5アルゴリズムで署名されています。エンタープライズアプリケーションを更新した後、md5を使用しているルート証明書が原因でエラーが発生しました。

ここで、ルート証明書を、アプリケーションが再び実行されるsha1またはsha256（これはより新しい、より安全な）で置き換える必要があります。

thwatkeのルート証明書をsha1によって署名されたバージョンと置き換えることはできますか、またはチェーン全体を再作成する必要はありますか？ thwatkeは私のためにこれを行うことはできますか？私はちょうど数ヶ月前に証明書を購入しました...

Answer 1

証明書の署名を使用した問題の公開鍵で検証します。このキーが同じである限り、どの署名アルゴリズムが発行者証明書に使用されるかは重要ではありません。 CAが異なる署名アルゴリズムで署名された異なる証明書の証明書に同じ公開鍵を持つことは珍しいことではありません。しかし、あなたが話している特定の証明書についてはわからないので、これらの証明書が同じ公開鍵を持っているかどうかを確認する必要があります。

エンタープライズアプリケーションを更新した後、md5を使用しているルート証明書が原因でエラーが発生しました。

これはアプリケーションに奇妙なエラーです。ルート証明書はトラストストア内にあり、その署名のためではないため、信頼されます。したがって、ルート証明書の署名を検証する必要がないため、署名アルゴリズムはまったく重要ではありません。