Cambiar algoritmo de firma predeterminado (SHA1) en OpenSSL

Openssl se puede utilizar especificando las opciones desde la misma linea de comandos o bien usar las definidas en el fichero de configuración de Openssl (openssl.cnf). El problema de esta segunda posibilidad es que las opciones que el fichero de configuración alberga, no son todo lo seguras / actuales que deberían.

De manera predeterminada, el algoritmo de firma (message digest) que utiliza OpenSSL es SHA1, para cambiarlo a otro más actual, se debe editar la directiva “default_md” en el fichero openssl.cnf.

[ CA_default ]

...

default_md  = sha512

Mensaje que muestran los certificados firmados mediante SHA512.

Signature Algorithm: sha512WithRSAEncryption