SSL憑證升級引效能爭議 支援多種演算法會更安全

作者:張維君 -06/17/2013

隨著越來越多SSL加密被破解的新聞,以及破解工具的釋出,SSL升級變得刻不容緩,尤其Google宣佈要升級SSL憑證到2048位元,市場上關於SSL升級的討論聲浪又再度熱烈起來。

日前,Google資安工程總監Stephen McHenry在官方部落格宣佈,將從今(2013)年8月1日起進行SSL憑證轉換升級的作業(包含根憑證),同時也會提供一些建議給需要透過SSL連線到Google的用戶端程式。

然而,Google這種作法並不是新的創舉,美國國家標準技術研究所(NIST)早在3年前出版的SP 800-57刊物中,就曾建議並要求在2013年底之前,所有SSL加密憑證應升級到2048位元,2048位元加密應有效運作直到2030年。

只不過,升級SSL雖然可以提昇安全性,卻也引發許多網站管理者尤其是電子商務業者對於影響伺服器效能的質疑。對此,賽門鐵克網站安全解決方案(前Verisign)在今(2013)年2月宣布將提供新的加密技術,亦即除原RSA加密演算法外,也會在憑證中提供支援ECC( Elliptic Curve Cryptography )與DSA(Digital Signature Algorithm)演算法的技術,專家表示,這種可支援多種驗算法的SSL憑證會更安全,因為即使某一種演算法被破解,這個憑證在其他演算法的保護下仍然可以有效運作。

賽門鐵克網站安全解決方案產品管理資深總監Robert Hoblit指出,ECC採用更小的金鑰(keysize),其256位元就等於RSA演算法的3072位元,因此,ECC演算法的系統效能比RSA演算法更好,目前,賽門鐵克也與Google、Akamai等廠商共同合作推動ECC加密演算法的應用。

其實,一般憑證廠商早在3年前就已開始發行支援2048位元的加密憑證,如果不確定自己的憑證是1024或2048位元,可透過兩種方式查詢,一是點選瀏覽器URL旁邊的鎖頭查看安全性報表,再點選檢視憑證,並選擇憑證路徑查看根憑證的詳細資料,就可看到根憑證的公開金鑰是1024或2048位元。如果只有自己網站用戶端憑證是2048位元,那還是不安全。或者可上SSL Toolbox Installation checker網站,直接輸入網域名稱查詢。


 

如欲閱讀完整內容,請成為《進階會員》