我们有一个内部客户已经使用SHA-1发布了根CA(他们和我们都知道应该弃用)并且已经使用哈希算法SHA2从根CA颁发了服务器证书。一个团队成员建议这不能得到支持,因为证书的所有哈希算法都必须匹配,但是我不了解我设置谷歌的主题,以确定是否存在混合哈希环境不被直接支持的原因我认为一片叶子证书应该能够比根更低的加密级别。找不到全面的答案我最终在这里。我们的情况为我提出了三个问题:
哈希算法必须对信任链中的每个证书保持静态吗?
如果哈希算法可能不同,那么底层证书可以是更高还是更低的公钥级别?
链中的每个证书都可以使用随机加密级别吗?
答案 0 :(得分:1)
可以使用用于证书的混合签名算法。除此之外,根本不检查根证书的签名,因此使用它们的算法并不重要。根证书是可信任的,因为它位于本地信任库中,而不是因为它是由某人签名(通常由自己签名)。