自从商业互联网出现以来,安全套接字层(SSL)技术一直是并且仍然是安全网络通信的核心。SSL证书基于RSA开发的算法,可以从多个证书颁发机构获得。Verisign在其SSL业务的基础上建立了一个互联网巨头。消费者在成长过程中知道,当他们看到浏览器上的锁时,他们可以相信他们的通信是安全的。
但最近,锁在那里并不意味着一切都好。已经发生了伪造证书、侵入证书颁发机构以及计划逐步淘汰1024位RSA证书的事件。令人担心的是,在当今可用的纯计算能力下,受人尊敬的1024位证书可能会被蛮力强迫使用。NIST已经授权采用新的2048位RSA标准。
一些人质疑新的2048证书是否足够强大。但更大的问题是,加密比特数越大,在服务器和浏览器上使用的时间和周期就越长。移动到2048位将对速度和资源产生影响。更糟糕的是,如果我们必须移动到3072位,服务器和浏览器上的负载会更糟。当你一点一点地往梯子上爬时,负载就会越来越重。
是的,好的旧SSL有点过时了。看来要好好恢复一下了。好消息是,新产品也即将到来。除了升级到2048位RSA标准外,我们现在有两个新的SSL标准。一个是美国国家安全局开发的DSA标准。它使用与RSA证书不同的算法,但就大小而言,新的NIST标准将需要2048位证书。
另一种选择是椭圆曲线加密(ECC)算法。由于只有256位,它要小得多,因此对服务器和端点的资源来说都更容易。在Ellen Messmer的一篇好文章中,您可以阅读很多关于它以及赛门铁克支持它的新SSL证书的内容在这里.下面的图表显示了ECC的一些优点。
顺便说一下,这些新的赛门铁克证书支持所有三种算法。其他认证机构也提供了一些“混合”ECC支持。不过,作为Verisign业务的所有者,赛门铁克在这方面遥遥领先。它已经在大多数主流浏览器中放弃了ECC根,而且大多数web服务器也支持它。问题将是ECC标准多快被其他权威机构和SSL证书用户采用。但ECC的优点似乎导致它不可避免地被采用。
但在SSL方面也有更多消息。各大证书机构组成了一个新的行业协会,对SSL证书行业起到了一定的领导作用。这不是一个新的标准机构CA安全委员会,根据这篇关于黑暗阅读的文章,计划作为一个研究、安全倡导和教育组织为SSL CA世界,其创始人说。它计划支援核证机关/浏览器论坛及其他标准机构的工作,并协助加强SSL及核证机关程序的保安及运作。”
顺便说一下,有一个伟大的常见问题在CASC网站上使用SSL。如果您不熟悉SSL技术,只是随大流,想要一个容易理解的解释,那么它是一个很好的起点。
与此同时,那把老谋深算的老锁似乎又有了一次机会。有了新技术和认证机构的共同努力,我们可能都能睡得更安稳。