Symantec: Сертификаты с ключами менее 2048 бит не предоставляют надлежащий уровень безопасности

image

Теги: Symantec, ключ

С 31 декабря 2013 года все SSL-сертификаты с ключами длиной менее 2048 бит будут отозваны сертификационными центрами.

Symantec напоминает о том, что риск взлома хакерами SSL-сертификатов с ключами длиной менее 2048 бит растет вместе с ростом вычислительных возможностей компьютеров. Поскольку такие ключи больше не обеспечивают надлежащего уровня защиты, все сертификационные центры прекратят выдачу 1024-битных сертификатов и отзовут любые сертификаты с ключами длиной менее 2048 бит начиная с 31 декабря 2013 года. Данная мера будет иметь глобальный характер, а своевременное обновление сертификатов позволит избежать нарушений работы веб-сайтов.

Тем, кто все еще использует SSL-сертификаты с ключами длиной менее 2048 бит, пришло время делать апгрейд. Группа Certification Authority/Browser (CA/B) Forum и Национальный Институт стандартов и технологий США пришли к заключению, что ключи длиной менее 2048 бит больше не обеспечивают надлежащего уровня защиты, поскольку, в связи с ростом вычислительных возможностей компьютеров, появился риск взлома таких ключей хакерами, которые обладают необходимыми мощностями. Данная мера направлена на обеспечение надлежащего уровня безопасности и должна иметь глобальный характер.

Таким образом, эти организации постановили, что все сертификационные центры должны прекратить выдачу 1024-битных сертификатов и отозвать любые сертификаты с ключами длиной менее 2048 бит начиная с 31 декабря 2013 года. И хотя до этой даты остается еще несколько месяцев, компания Symantec отзовет некоторые сертификаты уже в октябре 2013 года, для того чтобы помочь клиентам избежать возможных нарушений работы их веб-сайтов в период праздников.

Последствия данных мер:

· Клиенты, использующие SSL-сертификаты с ключами короче 2048 бит, истекающими до 31.12.2013, должны обновить их, сгенерировав CSR-запрос на получение 2048-битного сертификата. Сертификаты, истекающие до конца этого года, не будут автоматически отозваны 1 октября;

· Клиенты, использующие SSL-сертификаты с ключами короче 2048 бит, истекающими после 31.12.2013, должны отозвать их и сгенерировать CSR-запрос на получение 2048-битного сертификата, иначе их сертификаты автоматически будут отозваны уже 1 января;

· Клиентов, уже использующих сертификаты с ключами длиной 2048 бит и выше, данные меры не затронут.

· Для того чтобы узнать, нужно ли вам осуществить обновление, проверьте криптостойкость ваших сертификатов.

Непринятие необходимых мер в указанные сроки может привести к ряду негативных последствий:

· блокировке браузером доступа к вашему веб-сайту;

· появлению предупреждений о небезопасности вашего веб-сайта при посещении;

· незащищённости транзакций, осуществляемых через вебсайт;

· исчезновению «печати доверия» с вашего веб-сайта.

Все это помешает посетителям осуществлять платежи и снизит доверие к сайту в целом. В список нефинансовых последствий входит причинение вреда имиджу компании, а также снижение числа клиентов. Все это может привести к потере бизнеса в пользу конкурентов.


или введите имя

CAPTCHA
ребе Поцман
24-10-2013 14:08:08
Ой вей, эти шлимазлы таки спохватились... Уже давно поrа пеrеходить как минимум на четыrехкилобитные ключи.
0 |
Alexey E
24-10-2013 15:42:45
Как-то в статье не раскрыто, а собственно в чём опасность-то?
0 |
x
27-10-2013 22:51:23
В том, что NSA взломает.
0 |
sergp
25-10-2013 06:29:13
Ну если речь идет о брутфорсе, то видать я где-то пропустил новость о массовом внедрении нанокомпьютеров , если о других косяках технологии, то причём здесь длина ключа?
0 |
x
27-10-2013 22:52:10
Ты тупой, иди убейся. Почему, по твоему, выкинули дес с ключем на 56 бит и заменили его aes с ключами от 128?
0 |
Toxa
31-10-2013 12:15:02
Алгоритм шифрования и длина ключа, необходимая для заданного уровня устойчивости к взлому, — вещи совершенно разные. А тем более нет смысла сравнивать асимметричную криптографию с этими вашими симметричными DES/AES. Да даже в рамках одного асимметричного вида — тоже нет смысла, ибо относительная длина открытого и закрытого ключа у разных алгоритмов разная. Так, для условного уровня стойкости 128 бит, ныне популярному алгоритму RSA требуются 3072-битные открытый и закрытый ключи, более старому алгоритму DSA — 3072-битный открытый и 256-битный закрытый, а его эллиптической модификации EC-DSA — 256-битные открытый и закрытый ключи. Сертификаты выдаются только на открытые ключи, и, как видно, сам по себе размер открытого ключа — это ещё не всё.
0 |
пися
28-10-2013 21:58:57
AES крепкий алгос, сложно сбрутить!
0 |