web-gelistirme-sc.com

Thawte / GeoTrust / VeriSign 2048 Bit Kök göç ve Orta SSL Sertifikaları

Thawte, GeoTrust, VeriSign ve diğer Sertifika Yetkilileri şu anda 1024 bitlik bir MD5 tabanlı kök sertifikadan 2048 bit SHA-1 temelli kökten " doğrultusunda ol endüstrinin en iyi uygulamaları ". Ek olarak, tüm sertifikalar şimdi Orta Düzey Sertifika Yetkilileri gerektirecek ve daha önce tercih edilen sağlayıcılar tarafından verilen tek kök sertifikaların yerine bir Zincirleme Kök sertifika oluşturacaksınız. Yakın zamanda bu güncellemelerden birini sitelerimizden biriyle geçirdim, artık SSL'nin nasıl çalıştığını tam olarak anlamadığımı ve bazı açıklamalara ihtiyacım olduğunu anladım.

Soru 1: 1024 bitlik bir kök, 2048 bitlik bir kökten nasıl farklıdır? MD5'ten SHA1'e geçişi, MD5'in savunmasız olduğu kanıtlanmıştır. çarpışmalar, fakat benim sorum, 2048 bit kökünün 1024 bit kök üzerinde sağladığı fayda nedir? İstemci ile sunucu arasındaki SSL şifreleme gücünü arttırıyor mu, yoksa sadece kök sertifikanın güvenliğini tehlikeye sokmayı zorlaştırıyor mu?

Soru 2: Ara Sertifikalar nasıl çalışır ve hangi avantajlara/zararlara sahip olurlar? Sitemizi güncelledikten sonra, siteye erişim sağlandıktan sonra her şey yolunda gitti. daha eski tarayıcı (özellikle Windows Mobile). Kafam karıştı, çünkü Thawte SSL123 2048-bit Test Sitesi sitemizde bir "Güvenilmeyen Kök Sertifika" ile ilgili bir uyarı mesajı aldığı için cihazda iyi çalıştı. Her iki site de aynı sertifika zincirine sahipti; bunların hiçbiri kök veya ara sertifikalar cihaz tarafından güvenilmezdi. Yabancı, test sitesini ziyaret ettikten sonra sitemizin herhangi bir uyarı olmadan sihirli bir şekilde çalışmaya başlayacağı yönündeydi.

Bu konuda Thawte ile iletişime geçiyorum ve SSL sertifikamızın doğru yüklenmediğini söylediler. Sunucunun güvenilir ara sertifika deposuna ara sertifikasını indir ve kurulum kullanmamız gerektiğini ve kurulum denetleyicisi = sonuçları doğrulamak için. Sertifika barındırma sağlayıcımız tarafından yüklendi (muhtemelen tek kök sertifikalar için yapılandırılmış otomatik bir komut dosyası kullanarak), ancak yönergelerini takip ettikten sonra sitemiz yeni kök veya orta sertifikayı yüklemeye veya onaylamaya gerek kalmadan eski tarayıcılarda çalışmaya başladı. cihaz.

Ara sertifikanın sunucuya yüklenmesi, eski tarayıcıların sertifikayı geçerli olarak kabul etmesine neden olur?

6
Greg Bray

Yakın zamanda bu güncellemelerden birini sitelerimizden biriyle geçirdim, artık SSL'nin nasıl çalıştığını tam olarak anlamadığımı ve bazı açıklamalara ihtiyacım olduğunu anladım.

Basitçe söylemek gerekirse, SSL anahtarları (herhangi bir sırayla) bir zincirdeki bir anahtar dizisidir. Çok büyük asal sayıları (anahtarlar) çarpma KAMU-ÖZEL süreci (zincir) üzerinden geçen bir el sıkışma yöntemi vardır.

Soru 1: 1024 bitlik bir kök, 2048 bitlik bir kökten nasıl farklıdır?

İlk olarak, anahtar iki kat daha büyüktür. Hesaplamalı "çatlama" açısından bu, daha fazla zaman ve üstel üstele neden olur. En son duyduğumda, (yani yanlış olabilirim), Kit @ home gibi kitlesel-çok-paylaşım, 6 ayın altında 256 bitlik bir anahtarı kırabildi. Bununla birlikte, bu boyutun iki katı bir anahtar, minimum 4 kat daha uzun sürer. Bu bir Bachmann – Landau notasyonu problemidir. Doğal olarak 1024 bitlik bir anahtar 16 kez, 2048 ise 32 kez alır.

Bir 512b anahtara karşı kaba kuvvetin bir kerede XYZ MhZ hızında 1.2 trilyon işlem yılını aldığı düşünülüyorsa, anahtar boyutunu yükseltmemiz gerektiğini düşünmek delilikti.

Ama ne yazık ki biz var.

Şimdi bir binyıl ödülü olarak "P'ye karşı NP" ile, daha fazla insan büyük büyük primerleri hesaba katan tahminleri filtrelemeye bakıyor.

Soru 2: Ara Sertifikalar nasıl çalışır ve hangi avantajlara/zararlara sahipler?

...

Ara sertifikanın sunucuya yüklenmesi, eski tarayıcıların sertifikayı geçerli olarak kabul etmesine neden olur?

Farklı tarayıcıların farklı Doğrulama İşlemini Genişletme rutinleri veya sağlayıcıları olabilir. (muhtemelen hiçbiri!)

Ayrıca farklı web sunucularının farklı Doğrulama rutinleri veya sağlayıcıları da olabilir. (Muhtemelen hiçbiri? Muhtemel değil!)

Gerçekten SSL'yi yapan bir kod temeli örneği, PHP için OpenSSL şeklindedir.

Farklı sunucular ve farklı kod tabanları için bunun gibi birçok kütüphane türü vardır. Sunucular, kütüphane oluşturur ve hatta anahtarların bile eski kodlarla ilgili sorunları olabilir.

İnternetin güvenliği zaman zaman süreç akışındaki gelişmelerden ve değişikliklerden geçtiğinden, yeni 2048 bitlik anahtarların daha fazla anahtar ve/veya daha fazla zincir içerdiğini söylemenin güvenli olduğunu söyleyebilirim. Çok gerçek bir açıdan, bu, amortismana tabi tutulmuş bir rutin olarak kabul edilen şeyler üzerinde anormal davranışlara neden olabilir.

Bu nedenle ara sertifikanın sorunu çözmesinin nedeni, uyumsuzluğu isteğe bağlı geriye dönük bir sertifikaya ekleyerek yayar.

2
Talvi Watia