在密鑰從1024位升級到2048位的過程中，部分SSL證書存在著極大的安全隱患。

微軟于2009年11月在其網(wǎng)站上公布：鑒于被廣泛應(yīng)用于數(shù)字證書的1024位RSA非對稱密鑰算法有可能會被攻破，根據(jù)美國國家標(biāo)準(zhǔn)技術(shù)研究院(NIST)的要求，2010年12月31日之前，全球所有受信任的根證書頒發(fā)機(jī)構(gòu)(CA機(jī)構(gòu))必須停止使用1024位RSA算法的根證書，向2048位遷移，并且，2010年12月31日，微軟將把所有IE瀏覽器系統(tǒng)中的1024位根證書從受信任的根證書中刪除。

NIST的要求是強(qiáng)制性的，所以全球各大Windows受信任的CA機(jī)構(gòu)紛紛升級證書頒發(fā)系統(tǒng)和啟用新的2048位根證書，其中包括過去一直使用1024位RSA算法的VeriSign、Thawte和GeoTrust等。雖然一些廠商也宣布了向2048位根證書遷移的方案，但是，依然存在安全缺陷。可以說，這是一個(gè)無法解開的死結(jié)。

以VeriSign采取的解決方案為例：VeriSign宣布其頂級根證書、中級根證書和用戶證書都將替換為2048位的，但卻只能支持高版本的IE瀏覽器(IE7.0版本以上)。因?yàn)?，只有在高版本的IE瀏覽器中，其預(yù)埋的VeriSign根證書才是2048位的，而在低版本的IE系統(tǒng)(IE6.0以下版本)中，預(yù)埋的VeriSign根證書只有1024位的，并且無法自動升級。這樣，為了讓各種版本的瀏覽器都能支持新服務(wù)器根證書，VeriSign不得不使用老根證書來帶新根證書的方案，即還是使用1024位IE瀏覽器根證書(Class 3 Public Primary CA)來交叉簽名其新根證書。同樣道理，VeriSign 用于簽發(fā)EV SSL證書(顯示綠色地址欄)的根證書雖然是2048位，但其交叉簽名仍然是使用1024位老根證書。

這意味著目前廣泛用于網(wǎng)上銀行、網(wǎng)上證券(基金)、各大電子商務(wù)網(wǎng)站的VeriSign SSL證書，對于目前中國60%～70%的低版本IE瀏覽器用戶來講，訪問其頂級服務(wù)器根證書依然是1024位的，網(wǎng)上交易依然是不安全的。而且由于老版本IE瀏覽器無法識別新服務(wù)器根證書而會出現(xiàn)不信任的安全警告，效果如同自簽的證書，讓用戶心里很不踏實(shí)。

這次VeriSign可是大傷元?dú)饬?，原先以為幾百年也破不了的算法，沒想到14年后就不安全了，怪只怪CPU處理能力發(fā)展太快了！筆者在此呼喚廣大SSL證書用戶，一定要為您的系統(tǒng)部署根證書是2048位的證書頒發(fā)機(jī)構(gòu)頒發(fā)的SSL證書，這樣才能確保您的系統(tǒng)安全。

鏈接一

SSL證書起什么作用？

SSL證書確保從用戶瀏覽器到服務(wù)器之間的信息傳輸是加密的，保證用戶機(jī)密信息的安全，被廣泛應(yīng)用于我國的網(wǎng)上銀行、網(wǎng)上證券(基金)、網(wǎng)上購物等各種重要的網(wǎng)上應(yīng)用系統(tǒng)，我國90%以上的網(wǎng)銀都部署了SSL證書。

鏈接二

密鑰加密長度的基本概念

(1) 一定要把非對稱密鑰加密的公鑰長度與對稱密鑰加密的密鑰長度區(qū)分開，非對稱加密公鑰位數(shù)一般分 512 位、 1024 位、 2048 位、 4096 位等，而對稱加密是用一個(gè)密鑰，一般分 40 位、 56 位、 128 位、 256 位等。兩者是不同的加密體系，沒有直接關(guān)聯(lián)關(guān)系。

(2)瀏覽器與服務(wù)器之間是使用對稱加密算法，使用多少位的加密強(qiáng)度是由瀏覽器與 Web 服務(wù)器自動協(xié)商，取決于雙方支持的加密算法和加密強(qiáng)度，如：瀏覽器只支持 56 位，服務(wù)器支持128位，如果服務(wù)器沒有部署支持強(qiáng)制 128 位加密的 SSL 證書，則加密強(qiáng)度為 56 位；而如果服務(wù)器已經(jīng)部署支持強(qiáng)制 128 位加密的 SSL 證書，則加密強(qiáng)度為 128 位。

(3) 如果非對稱加密公鑰長度不夠長，如為512位、1024位，則密鑰有可能會被破解。所以，為了系統(tǒng)安全，一定要確保頒發(fā)SSL證書的根證書、中級根證書和用戶證書都是使用2048位的公鑰！

【編輯推薦】

1. IPTV會否是分眾傳媒下一個(gè)收購對象？
2. 密鑰或?qū)ΨQ密鑰加密術(shù)