0

这是我的情况:

  • 我有一个要分发的客户端应用程序——我们称之为 MyClient。
  • MyClient 与我们的一台服务器进行一些 SSL 通信。
  • MyClient 中嵌入了根 CA,因此它可以正确验证服务器证书。

现在,假设几年过去了,根 CA 到期并被更新。

这是否意味着我需要在野外修补 MyClient ?

换句话说,更改证书上的有效期是否会导致它不再匹配 MyClient 中内置的根 CA?

附录:假设我写我的客户不验证证书的日期(但其他一切)。那么,当根CA过期重新签发时,还需要打补丁吗?除了日期之外,参与验证的其他部分是否会发生变化?

4

1 回答 1

1

如果您的客户端确保 SSL 服务器证书由特定的根 CA 颁发,并且该根 CA 包含在客户端中,那么是的,您需要修补客户端以替换根 CA 证书。

很少有好的方法可以做到这一点。往往会发生的是根 CA 证书的寿命很长,并且使用寿命较短的中间 CA 来颁发 SSL 证书,但听起来这里不是这种情况。

从好的方面来看,我不知道旧的根 CA 证书使用了什么算法,但希望新的根 CA 证书有望使用更大的密钥(2048 位 RSA,而不是 1024 位或 512 位)和更好的散列算法(SHA1 或更好,而不是 MD5),因此这可能是提高安全性的好机会。

于 2012-08-31T12:16:11.347 回答