2014年2048位密钥要求
2010年左右使用1024位密钥(包括SSL证书)的数字证书指南
根据国家标准与技术研究所(NIST)的指导,建议认证机构(CAs)遵循咨询800-57和800-131A中最初发布的建议。建议认证机构在2010年12月31日后禁止签署包含1024位RSA公钥的数字证书,并在2013年12月30日前完全停止签署(表2,800-131A第3节)。当时,普遍的共识是,2013年12月31日之后到期的先前签发的长期证书应在接近截止日期时处理。
作为一家前瞻性的认证机构,其SSL使命是“改进CAs部署SSL和最终用户依赖SSL的方式”,GlobalSign通过规定比NIST指南更高的安全级别,从而领先于行业规范,帮助其客户时刻备受保护,并从可用的最高安全级别中获益。自2011年1月1日起,GlobalSign引入了RSA密钥大小要求,不再接受1024位证书签名请求(CSR)。这一想法与1998年的决定一致,即创建2048位根证书,从而创建完整的2048位服务层次结构,包括发布CAs、CRL和OCSP响应程序。
三年后使用1024位密钥的数字证书指南
2012年,CA/浏览器论坛通过了NIST建议,将2013年12月31日纳入了公共信任证书发布和管理基线要求的附录A。随后,浏览器根程序(如Mozilla CA证书策略程序)指示证书颁发机构在截止日期前停止使用1024位RSA密钥签署证书。在某些情况下,GlobalSign的客户群享有近3年的更高安全级别,而CAs一直持续到截止日期。在接下来的几年中,分解1024个RSA素数的机会增加,对用于实时事务的长寿命操作证书或可能已被第三方捕获以供将来解密的数据进行成功的MITM(中间人)攻击的可能性,如2013年6月有关PRISM的新闻条目所述。
三年后使用1024位密钥对GlobalSign客户的影响
为了遵守这些即将生效的行业要求并保持领先一步,GlobalSign已决定正式撤销2013年11月30日后仍在使用的所有1024位证书。
如果您是这些客户之一,那么是时候升级了。虽然您拥有在2011年1月1日之前颁发的1024位证书,并且在2013年12月31日之后才到期(即4年或5年证书),但您需要在2013年11月30日之前尽快升级到2048位密钥长度。该过程很简单,您只需重新颁发现有证书即可。请注意,如果您不重新颁发现有证书,则需要在此日期后重新订购新证书。GlobalSign会和您联系,并帮助您以最小的影响顺利升级,因为升级是免费的。所以在大多数情况下为零成本。
同时,如果您不确定现有证书的密钥强度,可以使用我们的SSL配置检查器工具https://sslcheck.globalsign.com/en_GB
如果您需要了解更详细的信息,请随时联系我们。