更新SSL根CA證書 - 野外客戶端程序需要更新？

Question

這裏是我的情況：

• 我有我要分發客戶端應用程序 - 我們叫它MyClient。
• MyClient與我們的一臺服務器進行SSL通信。
• MyClient中嵌入了根CA，因此它可以對服務器證書進行適當的驗證。

現在，假設有些年份過去了，根CA會過期，並被更新。

這是否意味着我需要在野外修補MyClient？

換句話說，證書上有效日期的更改是否會導致它不再與MyClient中的舊式根CA匹配？

附錄：假設我寫我的客戶端不驗證證書的日期（但其他所有內容）。然後，當根CA到期並重新發布時，我是否仍需要修補？除了日期之外，進入驗證過程的其他部分是否會發生變化？

Answer 1

如果您的客戶端確保SSL服務器證書由特定根CA頒發，並且根CA包含在客戶端中，那麼您需要修補您的客戶端以替換根CA證書。

這樣做的好處很少。通常會發生的情況是根CA證書的壽命很長，並且使用短壽命的中間CA來頒發SSL證書，但聽起來像這裏不是這種情況。看看光明的一面，我不知道什麼算法與舊的根CA證書一起使用，但希望新的根CA證書有望使用更大的密鑰（2048位RSA而不是1024位或512位）和更好的哈希算法（SHA1或更好，而不是MD5），所以它可能是增加安全性的好機會。