Mam pytanie: czy jeżeli mam certyfikat, który wygaśnie to czy nowy powinien mieć nowy/inny klucz publiczny?
0
0
Certyikat to jest klucz publiczny (plus dodatkowe dane), wedlug mojej wiedzy, wiec generowanie nowego certyfikatu bez zmainy klucza publicznego nie ma sensu z punktu widzenia bezpieczeństwa.
0
Też mi się tak wydaje, ale zupełnie w tym nie siedzę, poczekam jeszcze na kogoś kto ma 100% wiedzy, i podzielę się wtedy gdzie znalazłem takie powtórzenie.
0
Doprecyzuje, że chodzi mi o certyfikat klucza publicznego
1
To czy nowy certyfikat będzie miał ten sam klucz publiczny zależy od tego, czy użyjesz tego samego CSR / tego samego klucza prywatnego do stworzenia CSR - kluczowi prywatnemu odpowiada dokładnie jeden klucz publiczny. Jeśli stworzysz nowy klucz prywatny i wygenerujesz nowy CSR, to oczywiście klucz publiczny w podpisanym certyfikacie będzie inny.
Jeśli chodzi o best practices, sugerowane jest abyś przy odnawianiu certyfikatu wykorzystywał nową parę kluczy - możesz wykorzystać lepszą kryptografię niż obecna + jeśli jakimś przypadkiem ktoś posiada Twój obecny klucz prywatny, to nic już z nim pożytecznego nie zrobi.
W praktyce jeśli nie wykorzystujesz przestarzałej kryptografii oraz nie ma szans, żeby ktoś wszedł w posiadanie Twojego klucza prywatnego, możesz użyć tego samego CSR (lub tego samego klucza prywatnego, aby wygenerować CSR), aby odnowić certyfikat. Wtedy klucz publiczny będzie taki sam.
0
Pytanie zadałem, bo zdziwiło mnie, ze zadzwonił klient, że klient wysyłając jpk na bramkę testową dostał info o złym kodowaniu. Wtedy zorientowałem się, że jest nowy certyfikat dla obu bramek.
I o ile dla testowej klucz się zmienił to dla produkcyjnej nie.
0
Zależy jak to zrobisz. Cały proces wygląda tak:
para kluczy -> CSR -> certyfikat dla pary kluczy
Technicznie nie ma problemu z tym, żeby dla tej samej pary kluczy wygenerować nowy CSR i certyfikat. Skoro para kluczy się nie zmieniła, to i klucz publiczny pozostaje ten sam.
Ale... cały ten proces odświeżenia certyfikatu jest wykonywany z jakiegoś powodu. Nie ma szyfrów "niełamalnych", a jedynie takie, których złamanie trwa długo. Dlatego certyfikat ma swój okres ważności, żeby podmienić całość na nowe (klucze, szyfry...), zanim minie czas w jakim teoretycznie da się je złamać. W praktyce należy przyjąć, że odnawiając certyfikat należy zrobić to w całości, zaczynając od kluczy, które on podpisuje.
0
Widać chłopaki z Ministerstwa Finansów nie znają praktyki.
Realnie wydaj mi się/przypuszczam, że nie zmienili, żeby nagle nie okazało sie, że ileś procent przedsiębiorców nie jest wstanie wysłać JPK, ja wpadłem na to tylko dlatego, że na testowej klucz się zmienił, więc zdziwiłem się, że na produkcyjnej nie.