Digitální certifikáty mají přísná pravidla
Nikoho určitě nepřekvapí, že certifikační autorita funguje dle přísných pravidel a digitální certifikáty vystavuje s velkou opatrností a po předchozím ověření žadatele. Snahou je vystavovat certifikáty bezpečné, důvěryhodné a udržet co nejlepší reputaci vystavující autority.
Certifikační autority se řídí bezpečnostním doporučením amerického Národního institutu standardů a technologie (National Institute of Standards and Technology, NIST). Aby každá certifikační autorita neměla své podmínky odlišné od ostatních, vzniklo v roce 2005 sdružení certifikačních autorit a výrobců prohlížečů jménem CA/Browser Forum. V tomto sdružení se přijímají společná pravidla vystavování digitálních certifikátů. Vznikly zde například EV certifikáty se zeleným pruhem, stejně jako například omezení maximální délky platnosti certifikátů na 4 roky.
Certifikáty se slabými klíči definitivně skončí
Bezpečnost SSL certifikátů používaných k šifrování dat určují použité šifrovací klíče a jejich parametry, zejména délka a šifrovací algoritmus. Čím je klíč delší a silnější, tím je odolnější proti prolomení. Na základě doporučení NISTu z roku 2011 se v současnosti vystavují certifikáty s minimální délkou RSA klíče 2048 bitů. Udávaná délka platí pro veřejný klíč, kterým se u návštěvníka vašeho webu šifrují data přenášená na server.
Nejpoužívanější šifrovací algoritmus RSA je založen na matematickém problému faktorizace, což je rozložení velkého čísla na součin menších čísel, v případě RSA součin prvočísel. Faktorizace je v případě velkých čísel složitě řešitelná a neexistuje pro ni efektivní algoritmus, proto se hodí pro šifrování. Délka RSA klíče se používá vždy taková, aby ji nebylo možné existujícími prostředky prolomit a faktorizaci vypočítat.
Certifikáty RSA s délkou klíče 1024b už neposkytují dostatečné zabezpečení, protože ji lze v dnešní době prolomit hrubou silou. Klíč o délce 2048 bitů je však 232 krát (čtyř miliardkrát) silnější a jeho prolomení (matematická úloha faktorizace RSA klíče) zabere mnohem více času. V současnosti není znám prostředek, jak tuto bitovou hloubku RSA klíče prolomit, a s využitím 2048b RSA certifikátů se počítá i do budoucna.
Zajímá vás problematika certifikátů a bezpečnosti? Sledujte blog o SSL certifikátech.
Slabé certifikáty jsou odsouzeny k definitivnímu konci
Po tříletém období nahrazování 1024b certifikátů silnějšími nastane 1. 1. 2014 jejich definitivní konec. Certifikační autority stávající 1024b certifikáty zneplatní a prohlížeče je rovněž přestanou podporovat. Konec podpory slabých certifikátů čekejte například v prohlížeči od Apple, Google, Microsoftu, Opery a Mozilly.
Významné certifikační autority, které jsou členy zmíněného CA/Browser Forum, zajistily svým zákazníkům náhradu za jejich revokovaný certifikát v podobě silnějšího 2048b certifikátu. Zákazníkům též umožňují přegenerování certifikátu, tedy vydání nového certifikátu dle nového klíče, v tomto případě dle 2048b veřejného klíče (CSR requestu).
Předejděte problémům s osvědčenou certifikační autoritou
S koncem podpory 1024b certifikátů se více jak kdy jindy ukazuje důležitost správného výběru certifikační autority.
V novém tisíciletí vznikla spousta nových certifikačních autorit, jejichž cílem bylo vydělat na rychle rostoucím trhu digitálních certifikátů. Certifikáty jsou pro ně většinou jen doplněním jiných podnikatelských aktivit provozovatele. Rozvoji SSL certifikátů a zavádění nových trendů se vždy věnovaly dvě původní certifikační autority Thawte a VeriSign (dnes Symantec), které stály u jejich zrodu.
Thawte je od roku 1995 lídrem na poli digitálních certifikátů a po celých 17 let přísně dbá na kvalitu a důvěryhodnost svých služeb. Chcete-li mít kvalitní firemní SSL certifikát a jistotu, že jeho použití nebudou provázet žádné problémy, zvolte certifikát Thawte Web Server. Do konce listopadu ho získáte u SSLmarket.cz, Platinum partnera autority Thawte, s úsporou 1500,- Kč při dvouleté platnosti. Více o SSL certifikátu Thawte>>
Příští rok ve znamení změn
Zrušení slabých certifikátů k 1. 1. 2014 v praxi ukáže, jak jsou certifikační autority připraveny na přechod k silnějšímu zabezpečení. Problémy se mohou vyskytnout zejména u méně známých autorit, které nejsou členy CA/Browser Fora a nedodržují společné bezpečnostní standardy, nebo nemají existující certifikáty pod absolutní kontrolou.
V průběhu roku 2014 se můžeme těšit na uvedení moderních šifrovacích algoritmů odvozených od ECC algoritmu (kryptografie eliptických křivek). S příchodem těchto nových algoritmů nebude nutné pro zvýšení bezpečnosti zvyšovat i délku klíče, protože nové algoritmy poskytují vyšší zabezpečení při výrazně kratší délce šifrovacího klíče. Uleví se tak i webovým serverům, které na šifrování spotřebují méně výkonu.
Vzhledem k současnému masivnímu rozšíření RSA algoritmu bude nasazování nových algoritmů pomalé, urychlit ho však může vývoj kvantových počítačů a související nutnost silnějšího šifrování.
Více informací o důvěryhodných SSL certifikátech najdete na www.SSLmarket.cz.
Specialista na digitální certifikáty.
Přidat komentář