鉴于被广泛应用于数字证书的1024位RSA非对称密钥算法已经有可能会被攻破， 微软 根据 美国国家标准技术研究院(NIST )的要求(2010年12月31日之前停止使用1024位RSA算法)，已经通知全球所有受信任的根证书颁发机构(CA)，要求所有CA必须尽快从1024位的根证书向2048位迁移，并将于2010年12月31日把所有1024位根证书从受信任的根证书中删除。为了帮助广大用户能正确识别您公司正在使用的SSL证书的根证书是1024位还是2048位，特编写本指南。

为了帮助大家有一个清楚的直观的理解，以 VeriSign 颁发给 支付宝 的 SSL证书为例，浏览器地址栏右边有一个安全锁标志，如下图1所示：

点击安全锁标志后点击“查看证书”，就能看到如下图2所示的证书信息：

再点击“证书路径”就能看到其根证书是： Class 3 Public Primary Certification Authority，如下图3所示：

点击划红线的根证书后，再点击“详细信息”， 如下图4所示 ： 其公钥为不安全的 RSA 1024 位，而且其签名算法是非常不安全的 md2 (MD5 都已经非常不安全了，并禁止使用了！) ：

其中级根证书为： www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD ， 点击 “ 详细信息 ”， 如下图5所示 ： 其公钥为不安全的 RSA 1024 位：

可能VerSign的代理商会告诉您查看您的证书是2048位的，如下图6所示，这只能说是 VeriSign 采用了一种愚民政策，大家想一想，根证书是1024位的都不安全了，最终用户是 2048 位又有何用呢？

除外，值得注意的是，如果您公司的系统已经部署了VeriSign 的 EV SSL证书 ( 让新版浏览器地址栏变成绿色的SSL证书 ) ，VeriSign会告诉您其顶级根证书、中级根证书和用户证书都是 2048 位的，是安全的！还是在撒谎！仍然是存在 1024 位安全缺陷的！因为 VeriSign 为了解决低版本浏览器( 如 IE6) 不支持 EV 绿色地址栏和没有颁发 EV SSL 证书的根证书问题，使用了目前正在广泛使用的 1024 位根证书 (Class 3 Public Primary CA) 来交叉签名其 EV 根证书。也就是说：即使您的系统部署的是 VeriSign 2048 位 EV SSL 证书，对于 60%-70% 的低版本浏览器用户来讲，还是不安全的。如下图7所示，低版本浏览器会显示EV SSL证书的顶级根证书仍然是 1024 位根证书 (Class 3 Public Primary CA)：

请所有VeriSign/Thawte/GeoTrust用户注意：VeriSign/Thawte/GeoTrust的根证书都是使用1024位，所以您的SSL证书有安全风险，而且将于今年12月31日不再是受IE浏览器所信任。欢迎广大VeriSign/Thawte/GeoTrust赶紧替换您的SSL证书为WoSign品牌证书！可以享受替换买一年送一年的优惠。如果您现在的SSL证书剩余时间超过一年，我们就再补一年(不足一年的不补，因为实际上已经通过买一送一补回来了)。

。