Öffentliche und private Schlüssel mit 1024 Bit

Schlüsselanforderungen von 2048 Bit für 2014


Leitlinie für digitale Zertifikate mit 1024 Bit-Schlüsseln (einschließlich SSL Zertifikaten) circa 2010

In Einklang mit der Leitlinie des National Institute of Standards and Technology (NIST) wurde Zertifizierungsstellen (CAs) geraten, den zuerst in der NIST Special Publication 800-57 und später in 800-131A veröffentlichen Empfehlungen zu folgen. CAs wurden angewiesen, die Signierung von Digitalen Zertifikaten, die öffentliche 1024-Bit-RSA-Schlüssel enthielten, nach dem 31. Dezember 2010 zu missbilligen und die Signierung zum 31. Dezember 2013 vollständig einzustellen (Tabelle 2, Abschnitt 3 der 800-131A). Zu der Zeit bestand ein allgemeiner Konsens, dass bereits ausgestellte, langlebige Zertifikate, die nach dem 31. Dezember 2013 ablaufen, behandelt werden sollten, wenn der Termin näher rückt.

Als vorausschauend denkende Zertifizierungsstelle mit der SSL-Mission "Verbessern, wie CAs SSL einsetzen und Endanwender sich auf SSL verlassen", hat GlobalSign seinen Kunden geholfen, geschützt zu bleiben und von den höchsten verfügbaren Sicherheitsstufen zu profitieren, indem wir eine stärkere Sicherheitsstufe als die in der NIST Leitlinie empfohlene zur Pflicht gemacht haben, und das vor dem Branchendurchschnitt. GlobalSign führte ab dem 1. Januar 2011 ein, dass RSA Anforderungen an die Schlüssellänge keine Signaturanforderung für ein Zertifikat (CSR) mit 1024 Bit mehr akzeptieren. Diese Überlegung war an der Entscheidung von 1998 ausgerichtet, ein Rootzertifikat mit 2048 Bit, und damit eine vollständige 2048-Bit-Hierarchie von Services, einschließlich ausstellender Zertifizierungsstellen (CAs), Sperrlisten (CRLs) und OCSP-Responder, zu schaffen.

Leitlinie für digitale Zertifikate mit 1024 Bit-Schlüsseln drei Jahre später

2012 wurden die NIST Empfehlungen vom CA/Browser Forum übernommen, indem das Datum 31. Dezember 2013 in Anhang A der Baseline Requirements for the Issuance and Management of Publicly Trusted Certificates (Grundanforderungen für die Ausstellung und Verwaltung von öffentlich vertrauenswürdigen Zertifikaten) aufgenommen wurde. Zertifizierungsstellen wurden danach von Browser Root-Programmen wie dem Programm Mozilla CA Certificate Policy angewiesen, die Signatur von Zertifikaten mit 1024 Bit RSA-Schlüsseln bis zum Stichtag einzustellen. In einigen Fällen genoss der GlobalSign-Kundenstamm fast 3 Jahre lang höhere Sicherheitsstufen im Vergleich zu CAs, die weiterhin bis zum Stichtag ausstellen. In den nächsten paar Jahren, in denen die Chancen der Faktorisierung von 1024 RSA-Primzahlen zunehmen, besteht ein Potenzial für eine erfolgreiche MITM (Man in the Middle) -Attacke auf langlebige einsatzfähige Zertifikate, die für Live-Transaktionen eingesetzt werden, oder Daten, die von einem Dritten zur künftigen Entschlüsselung erfasst wurden, wie in Presseartikeln vom Juni 2013 bezüglich PRISM genau beschrieben.

Auswirkung auf GlobalSign-Kunden, die 1024 Bit-Schlüssel drei Jahre länger benutzen

Um mit den kommenden Richtlinien übereinzustimmen, hat GlobalSign offiziell entschlossen alle 1024 bit Zertifikate, die nach dem 30. November gültig sind, zu wiederrufen. Wenn Sie ein 1024 bit Zertifikat besitzen, empfehlen wir Ihnen Ihr Zertifikat vor dem 30. November 2013 upzugraden. GlobalSign setzt sich in den kommenden Wochen mit Ihnen in Verbindung und wir helfen Ihnen reibungslos, mit minimalen Auswirkungen und in den meisten Fällen ohne weitere Kosten, da Upgrades kostenlos sind, zu upgraden.

Wenn Sie in der Zwischenzeit unsicher sind, welche Verschlüsselungsstärke Ihr vorhandenes Zertifikat hat, überprüfen Sie es doch mit unserem SSL Configuration Checker Tool unter https://globalsign.ssllabs.com/

Wenn Sie weitergehende Informationen benötigen, lesen Sie bitte unsere Sammlung häufig gestellter Fragen (FAQ) oder zögern Sie nicht, uns zu kontaktieren.