<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">2017-07-12 8:35 GMT+02:00 Wouter Verhelst <span dir="ltr"><<a href="mailto:wouter.verhelst@fedict.be" target="_blank">wouter.verhelst@fedict.be</a>></span>:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 11-07-17 23:44, Salz, Rich via openssl-users wrote:<br>
>> It's very well worth the effort, otherwise there's a security issue, because certificates can be forged.<br>
><br>
> No they cannot.<br>
><br>
> What *has* been done is a document was created with "weak spots" and another document was created that  changed those weak spots, but the digest was the same.<br>
<br>
</span>Correct me if I'm wrong, but wasn't the MD5 certificate hack presented<br>
back at 25C3 based on exactly that scenario? They used the serial number<br>
and timestamp or some other such thing (don't recall the details) as<br>
weak spots and then sent loads of certificate requests to the CA to<br>
effecively brute-force it.<br>
<br>
(Of course, CAs are now required to randomize their serial number, so<br>
since that particular attack isn't possible anymore, I agree that for<br>
the time being it's still not a feasible scenario for SHA1, but hey)<br></blockquote><div><br></div><div>Maybe not currently for SHA-1, but maybe for MD5?</div><div><br></div><div>Also not sure whether you can use these old certificates with weak serials and change the date as well there?</div><div><br></div><div>Regards, Niklas </div></div></div></div>