Открытые и закрытые ключи длиной 1024 бита

Ключевые требования к 2048 битам для 2014 года


Руководство по цифровым сертификатам с ключами длиной 1024 бита (включая SSL-сертификаты) от 2010 года

В соответствии с руководством Национального института стандартов и технологий (NIST), центры сертификации призывались следовать рекомендациям, изначально опубликованным в уведомлении 800-57, а затем — в уведомлении 800-131A. Центрам сертификации рекомендовалось выступать против подписывания цифровых сертификатов, содержащих открытые ключи RSA длиной 1024 бита, после 31 декабря 2010 года, и полностью прекратить их подписывание с 31 декабря 2013 года (таблица 2, раздел 3 уведомления 800-131A). В то же время была достигнута общая договоренность о том, что выданные ранее долгосрочные сертификаты, срок действия которых истекает после 31 декабря 2013 года, должны обслуживаться примерно до истечения их срока действия.

Компания GlobalSign является центром сертификации с передовым мышлением, поставив своей целью «Улучшать способы внедрения центрами сертификации SSL-сертификатов и повышать степень доверия пользователей к SSL-технологиям». Мы помогли своим клиентам оставаться защищенными и пользоваться высочайшим доступным уровнем безопасности, внедряя более высокий уровень безопасности, чем предлагалось в руководстве NIST, и тем самым идя впереди текущих требований отрасли. С 1 января 2011 года компания GlobalSign ввела требования к длине ключа RSA, чтобы больше не принимать запросы подписи сертификата с длиной ключа 1024 бита. Эта идея совпала с принятым в 1998 году решением создать корневой сертификат с длиной ключа 2048 бит и, следовательно, полную иерархию услуг с ключом длиной 2048 бит, включая центры сертификации, CRL и ответчики OCSP.

Руководство по цифровым сертификатам с длиной ключа 1024 бита, выданным три года назад

В 2012 году рекомендации NIST были одобрены на форуме центров сертификации и браузеров (CA/Browser Forum) посредством добавления даты 31 декабря 2013 года в Приложение A к Основным требованиям к выдаче и контролю Сертификатов публичного доверия. В результате этого центры сертификации получили инструкции от корневых программ браузеров, таких как программа Политики сертификатов центров сертификации Mozilla на прекращение подписывания сертификатов с ключами RSA длиной 1024 бита RSA к указанному сроку. В некоторых случаях клиенты GlobalSign в течение почти 3 лет пользовались высочайшим уровнем безопасности, в сравнении с другими центрами сертификации, которые продолжили выдачу сертификатов вплоть до истечения указанного срока. В ближайшие несколько лет, когда шансы факторизации простых чисел 1024 RSA будут только увеличиваться, существует потенциал успешных атак типа "человек посередине" (MITM, Man in the Middle) на давно выданные рабочие сертификаты, используемые для сетевых транзакций, а также атак на данные, захваченные третьей стороной для будущей расшифровки, как указано в прессе от июня 2013 года в отношении PRISM.

Последствия для клиентов GlobalSign, использующих ключи длиной 1024 бита, выданные три года назад

Если вы являетесь одним из таких клиентов, то пришло время модернизации. Хотя у вас есть сертификат с длиной ключа 1024 бита, который был выдан до 1 января 2011 года и срок действия которого не истечет до 31 декабря 2013 года (сертификаты сроком действия 4 или 5 лет), мы настоятельно рекомендуем вам модернизировать его как можно быстрее, желательно — до конца 2013 года. Компания GlobalSign свяжется с вами в ближайшие несколько недель, чтобы помочь вам с модернизировать ваш сертификат максимально удобно с минимальными последствиями и, в большинстве случаев, абсолютно без затрат, поскольку модернизация сертификата является бесплатной.

А пока, если вы не уверены в надежности ключа вашего текущего сертификата, почему бы вам не проверить его, используя наш инструмент проверки конфигурации SSL-сертификатов https://sslcheck.globalsign.com/en_GB

Если вам требуется дополнительная информация, пожалуйста, свяжитесь с нами.