it-swarm.asia

Thawte / GeoTrust / VeriSign 2048 Bit Root migration وشهادات SSL الوسيطة

تعمل Thawte و GeoTrust و VeriSign ومراجع الشهادات الأخرى حاليًا على تغيير من شهادة الجذر المستندة إلى MD5 1024 بت إلى 2048 بت SHA-1 الجذر المستندة إلى " الاحتفاظ بما يتماشى مع أفضل ممارسات الصناعة ". بالإضافة إلى ذلك ، ستتطلب جميع الشهادات الآن سلطات الشهادات الوسيطة ، وإنشاء شهادة تسلسلية بدلاً من شهادات الجذر الفردية التي تم إصدارها مسبقًا من قبل موفري الخدمة المفضلين. بعد الاطلاع على هذه الترقية مؤخرًا مع أحد مواقعنا ، أدرك الآن أنني لا أفهم تمامًا كيف تعمل طبقة المقابس الآمنة وأنني بحاجة إلى بعض التوضيحات.

السؤال 1: كيف يختلف جذر 1024 بت عن جذر 2048 بت؟ أفهم التبديل من MD5 إلى SHA1 ، حيث ثبت أن MD5 عرضة ل الاصطدامات ، ولكن سؤالي هو ما فائدة جذر 2048 بت على جذر 1024 بت؟ هل يزيد من قوة تشفير طبقة المقابس الآمنة بين العميل والخادم أم أنه يجعل الأمر أكثر صعوبة في اختراق شهادة الجذر؟

السؤال 2: كيف تعمل الشهادات الوسيطة وما الفوائد/الأضرار التي لديهم؟ بعد تحديث موقعنا ، كل شيء سار بشكل جيد إلا عندما تم الوصول إلى الموقع بواسطة متصفح أقدم (ويندوز موبايل على وجه التحديد). لقد كنت مرتبكًا بعض الشيء منذ Thawte SSL123 2048 bit Test Site عملت بشكل جيد على الجهاز حيث قام موقعنا بالمطالبة برسالة تحذير بخصوص "شهادة جذر غير موثوق بها". يحتوي كلا الموقعين على نفس سلسلة الشهادة ، والتي لم يتم الوثوق بها في شهادات الجذر أو الوسيط من قبل الجهاز. كان الغريب أنه بعد زيارة موقع الاختبار ، سيبدأ موقعنا في العمل بطريقة سحرية دون أي تحذيرات.

أتصل بشركة Thawte بخصوص المشكلة ، وقالوا إن شهادة SSL الخاصة بنا لم يتم تثبيتها بشكل صحيح. قالوا إننا بحاجة إلى تنزيل و تثبيت الشهادة المتوسطة في مخزن الشهادات الوسيطة الموثوق به للخادم ، ويمكننا استخدام مدقق التثبيت = للتحقق من النتائج. تم تثبيت الشهادة بواسطة موفر الاستضافة الخاص بنا (ربما باستخدام تكوين برنامج نصي تلقائي لشهادات الجذر الفردي) ، ولكن بمجرد اتباع التعليمات الخاصة بنا ، بدأ موقعنا يعمل على المتصفحات القديمة دون الحاجة إلى تثبيت أو اعتماد شهادة الجذر أو الشهادة المتوسطة الجديدة على جهاز.

كيف يؤدي تثبيت الشهادة المتوسطة على الخادم إلى قبول المتصفحات الأقدم بالشهادة باعتبارها صالحة؟

6
Greg Bray

بعد الاطلاع على هذه الترقية مؤخرًا مع أحد مواقعنا ، أدرك الآن أنني لا أفهم تمامًا كيف تعمل طبقة المقابس الآمنة وأنني بحاجة إلى بعض التوضيحات.

لوضعها ببساطة ، فإن مفاتيح طبقة المقابس الآمنة (من أي ترتيب) هي سلسلة من المفاتيح على السلسلة. هناك طريقة للمصافحة تمر عبر عملية PUBLIC-PRIVATE (السلسلة) الخاصة بضرب الأعداد الأولية الكبيرة (المفاتيح).

السؤال 1: كيف يختلف جذر 1024 بت عن جذر 2048؟

أولاً ، المفتاح أكبر مرتين. من حيث "التكسير" الحسابي ، فإن هذا يسبب الكثير من الوقت الأسي. آخر ما سمعته ، (لذلك قد أكون مخطئًا) ، كان التعدد الكبير للمشاركة ، مثل Seti @ home قادرًا على كسر مفتاح 256 بت في أقل من 6 أشهر. ومع ذلك ، يستغرق المفتاح مرتين بهذا الحجم 4 مرات كحد أدنى. إنها Bachmann-Landau notation مشكلة. من الطبيعي أن يستغرق مفتاح 1024 بت 16 مرة ، بينما يستغرق 2048 32 مرة.

نظرًا لاعتبار القوة الغاشمة لمفتاح 512b تستغرق 1.2 تريليون سنة من المعالجة بسرعة XYZ MhZ في وقت واحد ، فقد كان من الجنون الاعتقاد بأننا سنحتاج إلى ترقية حجم المفتاح على الإطلاق.

لكن للأسف ، لدينا.

الآن مع "P مقابل NP" كجائزة الألفية ، يبحث المزيد من الناس عن تصفية التخمين في تحضير أعداد كبيرة كبيرة.

السؤال 2: كيف تعمل الشهادات الوسيطة وما المزايا/العوائق التي لديهم؟

...

كيف يؤدي تثبيت الشهادة المتوسطة على الخادم إلى قبول المتصفحات الأقدم بالشهادة باعتبارها صالحة؟

من الممكن أن تكون المتصفحات المختلفة مختلفة Extend Verification إجراءات أو موفرات. (ربما لا شيء!)

من الممكن أيضًا أن تختلف خوادم الويب المختلفة تمديد التحقق إجراءات أو مزودون. (ربما لا شيء؟ ليس من المحتمل!)

مثال لقاعدة البيانات التي تقوم بالفعل بتنفيذ SSL ، OpenSSL لـ PHP.

هناك العديد من أنواع المكتبات مثل هذه للخوادم المختلفة وقواعد الرموز المختلفة. قد تواجه الخوادم أو بناء المكتبة أو حتى المفاتيح نفسها مشكلات في التعليمات البرمجية القديمة.

نظرًا لأن أمان الإنترنت يمر بترقيات وتغييرات في تدفق العملية من وقت لآخر ، أود أن أقول إنه من الآمن أن نقول إن المفاتيح الأحدث 2048 تحتوي على المزيد من المفاتيح و/أو المزيد من السلاسل. في جانب حقيقي للغاية ، يمكن أن يسبب هذا سلوكًا غير طبيعي فيما يعتبر روتينًا منخفضًا.

وبالتالي السبب في أن الشهادة الوسيطة تعمل على حل المشكلة ، تقوم بتصحيح عدم التوافق مع شهادة اختيارية متوافقة مع الإصدارات السابقة .

2
Talvi Watia