webdevqa.jp.net

4096ビットの暗号化されたSSL証明書を使用することに不利な点はありますか?

私は最近GoDaddyを介してSSL証明書をリクエストしており、次のメッセージに気付きました。

Make sure the CSR you generate uses a 2048-bit or greater key length

過去に2048ビットのCSRリクエストを常に生成していましたが、今回はおそらく「ステップアップ」する必要があると考えさせられ、次のステップは4096ビットバージョンになると思われます。

4096ビットSSL証明書に関する情報はあまり多くありませんが、どうやら多くの人がどうしてもアップグレードが必要になるまで1024ビット証明書を使用しており、一部のブラウザーは1024ビット証明書をサポートしなくなりました。

ブラウザは4096ビット証明書をどのようにサポートしていますか? GoDaddyが「少なくとも」2048ビットの証明書を必要とする場合、それで十分ですか、それとも何かを試してみるべきですか?もしそうなら、長所と短所は何ですか?

PS:GoDaddyのメッセージにある2つのリンクは CSRヘルプ詳細 です。どちらも非常に役に立ちませんでした。

52
cwd

ほとんどすべての*ブラウザは4096ビットキーをサポートします。遭遇する問題は、大きなキーではキー交換が遅くなり、サーバーの負荷が増加し、クライアントのページの読み込みが遅くなることです。

一般に、2048ビットキーは当面の間安全であると考えられています。ただし、中間ステップが必要な場合は、3072ビットキーが真ん中にあります。

*:唯一の例外は、いくつかの奇妙な古いモバイル/組み込みブラウザーです。

33
duskwuff
15
tnj

4096ビットのSSL証明書がある場合、一部のクライアント(特に Javaベースのクライアント および古いクライアント)をサポートするために、2048ビットまたは1024ビットのDiffie-Hellmanキーを生成して追加しますサーバー証明書に追加します。ただし、1024ビットDHキーをサポートする場合は、 Logjam 攻撃にも注意する必要があります。適切なサイズのDHキーを追加することにより、これらのクライアントに簡単に対応できますが、最初にサポートするクライアントを慎重に検討してください。

6
vallismortis

SOOO OLDスレッドに回答して申し訳ありませんが、4096証明書を作成しない「NOT」の主なポイントは、CA証明書は2048であるため、サブ証明書4096を作成することは無意味です...代わりにCA証明書。

0
BiG_NoBoDy