如何检查SSL证书的根证书是1024位还是2048位的
鉴于被广泛应用于数字证书的1024位RSA非对称密钥算法已经有可能会被攻破, 微软 根据 美国国家标准技术研究院(NIST )的要求(2010年12月31日之前停止使用1024位RSA算法),已经通知全球所有受信任的根证书颁发机构(CA),要求所有CA必须尽快从1024位的根证书向2048位迁移,并将于2010年12月31日把所有1024位根证书从受信任的根证书中删除。为了帮助广大用户能正确识别您公司正在使用的SSL证书的根证书是1024位还是2048位,特编写本指南。
为了帮助大家有一个清楚的直观的理解,以 VeriSign 颁发给 支付宝 的 SSL证书为例,浏览器地址栏右边有一个安全锁标志,如下图1所示:
点击安全锁标志后点击“查看证书”,就能看到如下图2所示的证书信息:
再点击“证书路径”就能看到其根证书是: Class 3 Public Primary Certification Authority,如下图3所示:
点击划红线的根证书后,再点击“详细信息”, 如下图4所示 : 其公钥为不安全的 RSA 1024 位,而且其签名算法是非常不安全的 md2 (MD5 都已经非常不安全了,并禁止使用了!) :
其中级根证书为: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD , 点击 “ 详细信息 ”, 如下图5所示 : 其公钥为不安全的 RSA 1024 位:
可能VerSign的代理商会告诉您查看您的证书是2048位的,如下图6所示,这只能说是 VeriSign 采用了一种愚民政策,大家想一想,根证书是1024位的都不安全了,最终用户是 2048 位又有何用呢?
除外,值得注意的是,如果您公司的系统已经部署了VeriSign 的 EV SSL证书 ( 让新版浏览器地址栏变成绿色的SSL证书 ) ,VeriSign会告诉您其顶级根证书、中级根证书和用户证书都是 2048 位的,是安全的!还是在撒谎!仍然是存在 1024 位安全缺陷的!因为 VeriSign 为了解决低版本浏览器( 如 IE6) 不支持 EV 绿色地址栏和没有颁发 EV SSL 证书的根证书问题,使用了目前正在广泛使用的 1024 位根证书 (Class 3 Public Primary CA) 来交叉签名其 EV 根证书。也就是说:即使您的系统部署的是 VeriSign 2048 位 EV SSL 证书,对于 60%-70% 的低版本浏览器用户来讲,还是不安全的。如下图7所示,低版本浏览器会显示EV SSL证书的顶级根证书仍然是 1024 位根证书 (Class 3 Public Primary CA):
请所有VeriSign/Thawte/GeoTrust用户注意:VeriSign/Thawte/GeoTrust的根证书都是使用1024位,所以您的SSL证书有安全风险,而且将于今年12月31日不再是受IE浏览器所信任。欢迎广大VeriSign/Thawte/GeoTrust赶紧替换您的SSL证书为WoSign品牌证书!可以享受替换买一年送一年的优惠。如果您现在的SSL证书剩余时间超过一年,我们就再补一年(不足一年的不补,因为实际上已经通过买一送一补回来了)。
。