更新SSL根CA证书-客户端程序需要更新吗？

Question

以下是我的情况：

• 我有一个客户端应用程序，我要分发-我们将称之为MyClient。
• MyClient与我们的服务器进行了一些SSL通信。
• MyClient中嵌入了根CA，因此它可以对服务器证书进行适当的验证。

现在，假设一些年过去了，根CA过期，并被更新。

这是否意味着我需要在野外修补MyClient？

换句话说，对证书上的有效性日期的更改会导致它不再与MyClient中的根CA相匹配吗？

增编：假设我写我的客户端不验证证书的日期(但是其他所有内容)。然后，当根CA过期并重新颁发时，我还需要修补吗？除了日期以外，参与验证的其他部分会发生变化吗？

Answer 1

如果客户端正在确保某个特定根CA颁发SSL服务器证书，并且该根CA包含在客户端中，则需要对客户端进行修补以替换根CA证书。

几乎没有什么好办法可以做到这一点。通常发生的情况是根CA证书寿命很长，并且使用较短的中间CA来颁发SSL证书，但这里听起来不是这样的。

从好的方面看，我不知道旧根CA证书使用了哪些算法，但希望新的根CA证书将使用更大的密钥(2048位RSA而不是1024位或512位)和更好的散列算法(SHA1或更好而不是MD5)，因此这可能是一个提高安全性的好机会。