以下是我的情况:
现在,假设有些年过去了,根CA就会过期,并且会更新。
这是否意味着我需要在野外修补MyClient?
换句话说,更改证书上的有效日期会导致它不再与MyClient中的烘焙根CA匹配吗?
附录:假设我写的客户端不验证证书的日期(但其他一切)。然后,当根CA到期并重新发布时,我还需要修补吗?除了日期之外,其他影响验证的部分会发生变化吗?
答案 0 :(得分:1)
如果您的客户确保特定根CA颁发SSL服务器证书并且客户端中包含根CA,则是,您需要修补客户端以替换根CA证书。
这样做的方法很少。往往会发生根CA证书的使用寿命很长,使用生命周期较短的CA来颁发SSL证书,但听起来并非如此。
从好的方面来看,我不知道旧的根CA证书使用了哪些算法,但希望新的根CA证书有望使用更大的密钥(2048位RSA而不是1024位或512 -bit)和更好的散列算法(SHA1或更好而不是MD5),因此它可能是一个提高安全性的好机会。