Cómo elegir correctamente un certificado SSL - aspecto técnico
Un paso crucial en el proceso de implementación de SSL es la aplicación y configuración del certificado SSL (certificado ssl). Decidir qué certificado SSL comprar no es sólo una cuestión técnica, sino que también implica una serie de cuestiones como la estrategia de la empresa, el conocimiento del servicio y la gestión. Este artículo discutirá la selección de certificados de servidor desde una perspectiva técnica. Entre los certificados SSL actualmente en el mercado, existe el malentendido de que cuanto mayor sea el número de dígitos de cifrado, mejor. El cifrado involucrado en el protocolo SSL tiene dos dígitos de cifrado. Uno es el número de dígitos en la clave pública del certificado. , Se divide en 512 bits, 1024 bits y 2048 bits, y la corriente principal es 1024 bits. Uno es el número de dígitos de la clave de sesión (clave simétrica), que se dividen en 40 bits, 128 bits y 256 bits. La principal es de 128 bits. El algoritmo de clave pública se utiliza principalmente para cifrar la clave de sesión. La clave de sesión se utiliza para cifrar el contenido de la sesión después de que se establece la sesión SSL. La longitud de la clave de sesión está relacionada con la longitud de la clave admitida por la serie IE de Microsoft. Los navegadores tienen 40. Hay disponibles versiones de 128 y 128 bits. Los certificados SSL de VeriSign utilizan la tecnología SGC, que puede lograr un cifrado obligatorio de 128 bits para navegadores IE de 40 bits. Otros navegadores subordinados, como Firefox, pueden admitir 256 bits. claves de sesión. La longitud de la clave principal es muy difícil de descifrar con el nivel técnico actual, y el descifrado por fuerza bruta lleva mucho tiempo. Dado que la clave de sesión SSL es única y tiene un período de validez corto, básicamente no existe posibilidad de que se pueda descifrar por fuerza bruta. El proceso de cifrado consume recursos del servidor. Cuando aumenta la longitud de la clave, generará una mayor carga de rendimiento. Bajo la premisa de que las longitudes de clave convencionales pueden proporcionar suficientes garantías de seguridad, las longitudes de clave más largas solo pueden generar ineficiencia. Entre los certificados SSL actualmente en el mercado, también existe mucha controversia sobre la longitud de la cadena de certificados. Hay un dicho que dice que la cadena de certificados de VerSign es de Nivel 2 en los Estados Unidos y de Nivel 3 en China. Las cadenas de certificados de nivel 3 llevan mucho tiempo. De hecho, existen muchas razones para la longitud de la cadena de certificados, que involucran diferentes niveles de seguridad y estrategias de emisión de certificados, y no se pueden generalizar. Por supuesto, cuanto más larga sea la cadena de certificados, mayor será el tiempo de verificación, pero con una longitud de no más de cuatro niveles, el rendimiento es casi el mismo. Por ejemplo, el certificado SSL de validación extendida (EV) de VeriSign actual tiene dos cadenas de certificados, una es de nivel tres, adecuada para nuevas versiones de navegadores como IE7, y la otra es de nivel cuatro, adecuada para versiones anteriores como IE6 en Windows 2003. . navegador. La estructura de dos niveles de los certificados emitidos directamente por la CA raíz requiere que el certificado raíz esté en línea al emitir el certificado. Si la empresa está en un estado saturado, el certificado raíz debe estar en línea todo el tiempo. con los principios de gestión de seguridad clave de la seguridad general de CA y también aumenta en gran medida la cantidad de certificados. Se elimina el riesgo de seguridad de la clave raíz. Por lo tanto, este tipo de certificado ya no es un tipo de certificado convencional.