Cómo nos comenta Symantec en su guía, tienen como objetivo ayudar a educar e informar a los usuarios de los certificados TLS / SSL sobre el próximo cambio en la longitud de las claves y nos aconseja sobre el manejo de su transición al uso de los certificados SSL más fuertes.
Hasta hace poco, el algoritmo RSA, primero públicamente descrito en 1977 fue el único algoritmo disponible para la firma de certificados digitales comerciales. Sigue siendo el estándar de facto, aunque ahora los certificados comerciales basados en la criptografía de curva elíptica (ECC), están disponibles. Cuanto mayor es la clave en un certificado RSA más difícil es para comprometer la encriptación. Sin embargo, como aumenta el poder de computación en bruto, con el tiempo se hace posible crackear claves RSA de menor tamaño. Diecisiete cambios se han producido en los tamaños de clave RSA desde 1991. Más recientemente, la industria se estandarizó en los certificados con claves RSA de 1024 bits. Sin embargo, expertos de la industria advierten que él tantas veces utilizado algoritmo de 1024 bits tamaño de la clave RSA es susceptible de verse comprometido por hackers.
Como medida preventiva, el NIST ha recomendado que los certificados RSA de 1024 bits se reemplacen con claves de 2048 bits o más fuertes. Como resultado de la recomendación del NIST, la Autoridad de Certificación / Browser Forum (CA / B), creada para desarrollar mejor
prácticas dentro de la industria de SSL / TLS, crearon un mandato para para poner fin a la vida el 31 de diciembre de 2013 a claves de 1024 bits.
Los propietarios de certificados RSA de entidad final de 1024 bits se dividen en dos categorías:
Los primeros tienen certificados que expiran antes del plazo de mandato. En este caso, los nuevos certificados expedidos este año deben estar basados en un algoritmo de tamaño de clave más fuerte, como de 2048 bits RSA, DSA de 2048 bits o 256 bits ECC.
El segundo grupo tiene certificados con claves de 1024 bits que expiran después del 31 de diciembre 2013 fecha límite. Estos titulares de certificados deben revocar y reemplazar sus certificados con certificados basados en claves más fuertes.
Duplicar el tamaño de la clave de un certificado afectará el rendimiento del sistema. No es una tecnología SSL alternativa disponible. Symantec ahora ofrece certificados SSL basado en el algoritmo de criptografía de curva elíptica (ECC). Estos certificados basados ECC utilizan una clave de 256 bits, por lo que requieren menos recursos de la CPU, menos ancho de banda y ofrecer tiempos de respuesta más rápidos. Symantec comenzó a trabajar en ECC en 2005 cuando comenzó a lanzar criptográficos de curva elíptica (ECC) raíces en los principales navegadores.
- Comprueba su sistema con un certificado de prueba válida con una clave de 2048 bits para asegurar que tu sistema puede manejar un tamaño de clave más grande (algunos entornos más antiguos no pueden). Puede descargar un certificado de prueba en go.symantec.com/ssl.
- Busque todos los certificados de 1024 bits dentro de su entorno. Si tiene un entorno complejo con muchos certificados SSL, es posible que desee considerar el uso de una solución de gestión. Con el “Symantec’s Certificate Intelligence Center” puede ayudar a descubrir y gestionar todos los certificados independientemente de quien haya emitido el certificado. Además también se puede automatizar la transferencia de certificados en certificados SSL de Symantec. Para los clientes que sólo manejan unos pocos dominios / servidores también pueden comprobar dominios individuales garantizados por Symantec, GeoTrust, Thawte o certificados RapidSSL con el “Symantec Certificate Checker”.
- Identificar el período de validez de su certificado para crear su plan de acción. Los certificados que se vencen en 2013 tendrán que ser actualizados durante el proceso de renovación normal. Usted tendrá que revocar y reemplazar los certificados que expiran después del final del año. Asegúrese de hacer esto antes de que su CA ponga fin a los certificados.
- Generar una nueva solicitud de firma de certificado, (Certificate Signing Request (CSR)) para tamaño de clave de 2048 bits RSA.
- Si usted tiene un certificado que expira en 2014 o más tarde tendrá que revocar y reemplazar ese certificado ante el CA / B. La fecha límite establecida fue el 31 de diciembre de 2013 pero también puede hacerlo cuando la entidad emisora tenga programado la revocación de certificados que expiran en 2014 o más tarde.
- Una vez que su nuevo certificado ha sido emitido, instalar el certificado de entidad final y todos los certificados intermedios adicionales en su servidor. Usted puede obtener instrucciones adicionales y vídeos sobre la instalación en el sitio de información de Symantec de 1024 bits.
- Por último, probar su sitio web o vincular para asegurarse de tener una conexión segura y cifrada. Hay una buena utilidad de prueba disponible aquí.
(Lógicamente “barren para casa”, ;) , aconsejándonos a usar sus productos).
SYMANTEC PDF IR
