來源:https://www。wosign。com/FAQ/how_to_check_rootCA_1024bit_2048bit.htm
鑒於被廣泛應用於數字證書的1024位RSA非對稱密鑰算法已經有可能會被攻破, 微軟 根據 美國國家標准技術研究院(NIST )的要求(2010年12月31日之前停止使用1024位RSA算法),已經通知全球所有受信任的根證書頒發機構(CA),要求所有CA必須盡快從1024位的根證書向2048位遷移,並將於2010年12月31日把所有1024位根證書從受信任的根證書中刪除。為了幫助廣大用戶能正確識別您公司正在使用的SSL證書的根證書是1024位還是2048位,特編寫本指南。
為了幫助大家有一個清楚的直觀的理解,以 VeriSign 頒發給 支付寶 的 SSL證書為例,瀏覽器地址欄右邊有一個安全鎖標志,如下圖1所示:
點擊安全鎖標志后點擊“查看證書”,就能看到如下圖2所示的證書信息:
再點擊“證書路徑”就能看到其根證書是: Class 3 Public Primary Certification Authority,如下圖3所示:
點擊划紅線的根證書后,再點擊“詳細信息”, 如下圖4所示 : 其公鑰為不安全的 RSA 1024 位,而且其簽名算法是非常不安全的 md2 (MD5 都已經非常不安全了,並禁止使用了!) :
其中級根證書為: www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD , 點擊 “ 詳細信息 ”, 如下圖5所示 : 其公鑰為不安全的 RSA 1024 位:
可能VerSign的代理商會告訴您查看您的證書是2048位的,如下圖6所示,這只能說是 VeriSign 采用了一種愚民政策,大家想一想,根證書是1024位的都不安全了,最終用戶是 2048 位又有何用呢?
除外,值得注意的是,如果您公司的系統已經部署了VeriSign 的 EV SSL證書 ( 讓新版瀏覽器地址欄變成綠色的SSL證書 ) ,VeriSign會告訴您其頂級根證書、中級根證書和用戶證書都是 2048 位的,是安全的!還是在撒謊!仍然是存在 1024 位安全缺陷的!因為 VeriSign 為了解決低版本瀏覽器( 如 IE6) 不支持 EV 綠色地址欄和沒有頒發 EV SSL 證書的根證書問題,使用了目前正在廣泛使用的 1024 位根證書 (Class 3 Public Primary CA) 來交叉簽名其 EV 根證書。也就是說:即使您的系統部署的是 VeriSign 2048 位 EV SSL 證書,對於 60%-70% 的低版本瀏覽器用戶來講,還是不安全的。如下圖7所示,低版本瀏覽器會顯示EV SSL證書的頂級根證書仍然是 1024 位根證書 (Class 3 Public Primary CA):
請所有VeriSign/Thawte/GeoTrust用戶注意:VeriSign/Thawte/GeoTrust的根證書都是使用1024位,所以您的SSL證書有安全風險,而且將於今年12月31日不再是受IE瀏覽器所信任。