zahni 587 Geschrieben 10. März 2021 Melden Geschrieben 10. März 2021 vor 1 Minute schrieb NilsK: naja, aber das ist ja das, wo der Aufwand liegt Es soll auch Enterprise-CAs geben, die keine Intermediate CA verwenden (*duck*). Ich kann bestätigen dass der Hash-Algorithmus des Root Zertifikats dann auch egal ist. Wichtig ist, dass neue Zertifikate mit SHA2 ausgestellt werden und Chrome seinen alternative name sieht (wozu auch immer...).
NilsK 3.046 Geschrieben 10. März 2021 Melden Geschrieben 10. März 2021 Moin, Gerade eben schrieb zahni: Es soll auch Enterprise-CAs geben, die keine Intermediate CA verwenden (*duck*). Ich kann bestätigen dass der Hash-Algorithmus des Root Zertifikats dann auch egal ist. in der Praxis besteht die PKI entweder aus nur einer CA - dann ist Root = Issuing - oder aus zwei Stufen - Root plus Issuing. Ganz selten gibt es Root - Intermediate - Issuing. In allen Fällen liegt der Aufwand an der Stelle "Issuing". Daher meine Idee, dass man es dann auch gleich ganz neu machen kann. Lohnt sich praktisch immer. Wenn man es von da ab richtig macht. Gruß, Nils
Dukel 468 Geschrieben 10. März 2021 Melden Geschrieben 10. März 2021 Wenn es mehr als zwei Stufen sind ist das eher eine größere Organisation, in der entsprechendes Know-How und Prozesse vorhanden sind.
NorbertFe 2.283 Geschrieben 10. März 2021 Melden Geschrieben 10. März 2021 Das würde ich nicht unterschreiben 1
Abacus08 1 Geschrieben 10. März 2021 Autor Melden Geschrieben 10. März 2021 vor 5 Stunden schrieb NilsK: Moin, ich würde das trotzdem als Option nicht ausschließen. Bestehende Zertifikate kann man gut auf einer Alt-CA solange "laufen" lassen, wie sie noch gültig sind. Da braucht man ja eigentlich nur die Pflege der CRLs, neue Zertifikate stellt diese CA dann nicht mehr aus. Alles Neue lässt man dann von einer neuen, gut gemachten und aktuellen CA bedienen. Und igendwann ist die alte CA obsolet und man entfernt sie - meist eine Sache von Monaten, nicht von Jahren. Wieviel ist denn "extrem hohe Anzahl"? Gruß, Nils Hallo Nils, ich habe mal überprüft, wieviele Zertifikate es gibt. Es sind inzwischen etwas mehr als 180 Einzelzertifikate ;.( Willi
NilsK 3.046 Geschrieben 10. März 2021 Melden Geschrieben 10. März 2021 Moin, Na, aber das ist ja nicht extrem. Ich sehe da keinen Grund, der einen Neuaufbau ausschließen würde. Gruß, Nils
Empfohlene Beiträge
Erstelle ein Benutzerkonto oder melde dich an, um zu kommentieren
Du musst ein Benutzerkonto haben, um einen Kommentar verfassen zu können
Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Es ist einfach!
Neues Benutzerkonto erstellenAnmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden