jha*_*aar 5 ssl pki certificate-authority
我们拥有自己的 CA,多年来我们一直使用它来创建数百个服务器证书和数千个客户端证书。CA 证书本身是 1024 位,它签署的证书是 1024 位
由于我们与使用的外部证书存在某种关系,赛门铁克一直向我们发送有关“现在更改为 2048 位证书”的电子邮件,这让我很担心。
十月会发生什么?操作系统供应商会推出禁用自己与 1024 位证书交互能力的软件更新吗?如果是这样,我们就会遇到严重的问题,因为我们必须尽快更换数千个证书
为新的 2048 位证书替换客户端证书和 CA 证书本身将是一场手动噩梦。最初,除 Windows 之外的所有平台都必须手动完成(感谢 Microsoft 提供 GPO!),因此此更改是否需要我们也替换 CA,或者让现有的 1024 位 CA 证书签署 2048 位客户端/服务器证书就足够了“解决”这个问题
Microsoft 在 2012 年 10 月推出了更新,使 1024 位以下的 SSL 证书无法验证安全。该特定更新还删除了链中任何证书的弱密钥验证,其中包括使用弱密钥签名的旧授权。问题是,他们会再次对 2048 位证书这样做吗?如果会的话多久?
他们肯定会这样做,但没有关于多久会发生的指导。可能是明年,也可能是五年后。他们上次这样做时提前一个月通知我们,但最佳实践是使用 2048 位证书一段时间。
正在发生的情况是,证书颁发机构正在转向更强大的证书,而外部 SSL 检查器在遇到 1024 位证书时将开始抱怨证书较弱。某些知名供应商也在这样做。
这是您开始将中央证书升级到更强的手动过程的标志。这需要很长时间,可能几年,但现在可以顺利完成,而不是在正式弃用通知到达时惊慌失措。
顺便说一句,我们这些人,嗯,创建了完全内部使用的内部权限,并且只为我们选择的 PKI 使用默认密钥大小,并决定通过设置该默认值的到期日期来避免重新密钥失败-到 2030 年密钥大小证书?我们,嗯,在那里犯了一个错误。
当然,我们将密钥保存在银行金库中的一张打印纸上,需要生物识别访问。但如果暴力方法允许犯罪分子在 2015 年完全分解密钥,那么所有有趣的保护都毫无意义。这就是我们现在正在学习的教训。
重新输入密钥惨败开始。
| 归档时间: |
|
| 查看次数: |
179 次 |
| 最近记录: |