Это полностью зависит от того, как вы прикрепили сертификат.Закрепление сертификата означает проверку сертификата и его цепочки на соответствие определенным требованиям, которые определяют, должен ли новый сертификат быть принят.Существует почти бесконечное количество способов сделать это, и, следовательно, почти бесконечное количество способов выстрелить себе в ногу при этом.
Как правило:
- Есливы проверяете, соответствует ли открытый ключ сертификата, все в порядке, если новый сертификат имеет тот же открытый ключ.Обычно это самый простой подход к получению прав, потому что у вас есть возможность гарантировать, что ключ под вашим прямым контролем не изменится.Однако следует помнить, что некоторые инструменты автоматического обновления сертификатов генерируют новые ключи по умолчанию.
- Если вы сравниваете весь сертификат, он, скорее всего, сломается, потому что, очевидно, некоторые аспекты сертификата (как минимум, срок действия) будутизменить.
- Если вы сравниваете конкретные аспекты сертификата, такие как открытый ключ сертификата CA, который его подписал, он может или не может сломаться, в зависимости от того, соответствуют ли эти обозначенные требования.
Имейте в виду, однако, что ЦС периодически поворачивают свои подписывающие ключи, чтобы ограничить ущерб в случае взлома ключа.Это означает, что конкретный ключ сертификата CA, который вы прикрепили, может не совпадать с тем, который используется для подписи последующего сертификата.И если вы делаете это в автоматическом режиме, вопрос не в том, сломаетесь ли вы, а в том, когда.
По этой причине, если вы чувствуете необходимость выполнения закрепления клавиш, это Настоятельно Рекомендуется закрепить только ключи, которые находятся под вашим непосредственным контролем, и заставить все инструменты автоматического обновления повторно использовать существующую пару ключей.