我们拥有自己的CA,多年来我们已经使用它来创build数百个服务器证书和数千个客户端证书。 CA证书本身是1024bit,签名证书是1024bit
由于与我们使用的外部证书有一些关系,赛门铁克一直在向我们发送有关这种“现在更改为2048bit证书”的电子邮件,现在让我担心了。
十月会发生什么? 操作系统供应商是否会推出软件更新,使其无法与1024位证书进行交互? 如果是这样,我们有一个严重的问题,因为我们将不得不尽快replace成千上万的证书
更换新的2048bit客户端证书和CA证书本身将是一个手动的噩梦。 原来,这必须手动完成除Windows之外的所有平台(谢谢微软的GPO!),这个变化也需要我们也取代CA,或者将有现有的1024位CA证书签名2048位客户端/服务器证书是足够的“解决”这个问题
微软在2012年10月推出了一项更新,使1024位以下的SSL证书无法validation安全性。 该特定的更新还删除了链中任何证书的弱密钥validation,其中包括使用弱密钥签名的旧版权机构。 问题是,他们会再次这样做2048位证书,如果是的话,多久?
他们肯定会这样做的,但是对于可能发生的事情没有指导 。 这可能是明年,可能是五年后。 当他们上次做了,他们给了我们一个月的通知 ,但最好的做法是使用2048位证书一段时间。
正在发生的事情是,证书颁发机构正在转向更强大的证书,而外部的SSL检查器将会在1024位版本中开始抱怨弱证书。 某些高调的供应商也在这样做。
这是您开始手动升级中央证书的过程的标志。 这需要很长时间,可能需要几年时间,但现在可以顺利完成,而不是在正式弃用通知到达时发生恐慌。
作为一个侧面说明,我们这些谁,呃,创build内部使用完全内部权限,只是使用默认的密钥大小为我们select的任何PKI,并决定通过设置到期date的默认设置,以避免重新键入失败钥匙大小的证书到2030年? 我们啊,在那里犯了一个错误。
当然,我们把这个钥匙放在银行保险库的一张纸上,需要进行生物识别。 但是如果蛮力方法在2015年允许Perp完全将因素考虑在内,那么所有这些有趣的保护都是没有意义的。 这是我们现在正在学习的一课。
重新开始失败。