9,515
社区成员
发帖
与我相关
我的任务
分享WoSign 2048位SSL证书能确保您的网站在未来20年的安全!
鉴于被广泛应用于数字证书的1024位RSA非对称密钥算法已经有可能会被攻破,微软根据美国国家标准技术研究院(NIST)的要求(2010年12月31日之前停止使用1024为RSA算法),已经通知全球所有受信任的根证书颁发机构(CA),要求所有CA必须尽快从1024位的根证书向2048位迁移,并将于2010年12月31日把所有1024位根证书从受信任的根证书中删除。目前, WoSign 所有根证书(顶级根证书和中级根证书)都是 2048 位,满足NIST和微软要求。
虽然微软并没有强制要求所有CA颁发的最终用户SSL证书必须是 2048 位,但为了保证 WoSign 最终用户的证书安全和用户系统安全, WoSign 已经提前完成其证书颁发系统的升级,从即日起,所有颁发的 SSL 证书、代码签名证书和客户端证书的 缺省 RSA 公钥长度由原先的 1024 位升级为 2048 位。
在此, WoSign 提醒广大用户在申请 WoSign 数字证书时选择 2048 位密钥长度,以确保您的证书安全和所部署的系统安全。
并提醒广大用户:为了您的系统安全,请只选择根证书和中级根证书都是2048位密钥长度的品牌SSL证书! WoSign 无论是技术还是市场都走在其他品牌的前列,选择 WoSign 品牌是您最明智的决策。
请注意:
(1) 请所有VeriSign/Thawte/GeoTrust用户注意:VeriSign/Thawte/GeoTrust的根证书都是使用1024位,所以您的SSL证书有安全风险,而且将于今年12月31日不再是受IE浏览器所信任。欢迎广大VeriSign/Thawte/GeoTrust赶紧替换您的SSL证书为WoSign品牌证书!可以享受替换买一年送一年的优惠。如果您现在的SSL证书剩余时间超过一年,我们就再补一年(不足一年的不补,因为实际上已经通过买一送一补回来了)。
(2) 一定要把非对称密钥加密的公钥长度与对称密钥加密的密钥长度区分开,以上所讲的是公钥加密时用的公钥位数,一般分 512 位、 1024 位、 2048 位、 4096 位等,而对称密钥加密是用一个密钥,一般分 40 位、 56 位、 128 位、 256 位等。两者是不同的加密体系,没有直接关联关系,也就是说:目前普遍使用的 1024 位公钥生成 CSR ,一样可以实现 256 位的加密 ( 前提是浏览器和服务器都支持 256 位加密 ) 。
(3) 对于 SSL 加密,先用公钥加密对称密钥来交换密钥,而实际加密是用对称密钥,所以 SSL 证书的加密强度都是按对称密钥来说明的,如: 128 位加密和强制 128 位加密。到底浏览器与服务器之间是使用什么对称加密算法和使用多少位的加密强度是由浏览器与 Web 服务器自动协商的,取决与双方支持的加密算法和加密强度,如:浏览器只支持 56 位,服务器支持 256 位,如果服务器没有部署支持强制 128 位加密的 SSL 证书,则加密强度为 56 位;而如果服务器已经部署支持强制 128 位加密的 SSL 证书,则加密强度为 128 位。
(4) 如果用于交换对称密钥的公钥长度不够长,如:512位,1024位,则有可能用于对称加密的密钥会被破解,则再长的对称加密算法也没有用。所以,为了您的系统安全,一定要确保SSL证书的根证书、中级根证书和您的SSL证书都是使用2048位公钥!
(4) 请参考有关知识文章: http://www.wosign.com/Basic/howsslwork.htm
http://www.wosign.com/Basic/aboutPKI.htm
http://www.wosign.com/Basic/encryption.htm
虽然微软并没有强制要求所有CA颁发的最终用户SSL证书必须是 2048 位,但为了保证 WoSign 最终用户的证书安全和用户系统安全, WoSign 已经提前完成其证书颁发系统的升级,从即日起,所有颁发的 SSL 证书、代码签名证书和客户端证书的 缺省 RSA 公钥长度由原先的 1024 位升级为 2048 位。
在此, WoSign 提醒广大用户在申请 WoSign 数字证书时选择 2048 位密钥长度,以确保您的证书安全和所部署的系统安全。
并提醒广大用户:为了您的系统安全,请只选择根证书和中级根证书都是2048位密钥长度的品牌SSL证书! WoSign 无论是技术还是市场都走在其他品牌的前列,选择 WoSign 品牌是您最明智的决策。
请注意:
(1) 请所有VeriSign/Thawte/GeoTrust用户注意:VeriSign/Thawte/GeoTrust的根证书都是使用1024位,所以您的SSL证书有安全风险,而且将于今年12月31日不再是受IE浏览器所信任。欢迎广大VeriSign/Thawte/GeoTrust赶紧替换您的SSL证书为WoSign品牌证书!可以享受替换买一年送一年的优惠。如果您现在的SSL证书剩余时间超过一年,我们就再补一年(不足一年的不补,因为实际上已经通过买一送一补回来了)。
(2) 一定要把非对称密钥加密的公钥长度与对称密钥加密的密钥长度区分开,以上所讲的是公钥加密时用的公钥位数,一般分 512 位、 1024 位、 2048 位、 4096 位等,而对称密钥加密是用一个密钥,一般分 40 位、 56 位、 128 位、 256 位等。两者是不同的加密体系,没有直接关联关系,也就是说:目前普遍使用的 1024 位公钥生成 CSR ,一样可以实现 256 位的加密 ( 前提是浏览器和服务器都支持 256 位加密 ) 。
(3) 对于 SSL 加密,先用公钥加密对称密钥来交换密钥,而实际加密是用对称密钥,所以 SSL 证书的加密强度都是按对称密钥来说明的,如: 128 位加密和强制 128 位加密。到底浏览器与服务器之间是使用什么对称加密算法和使用多少位的加密强度是由浏览器与 Web 服务器自动协商的,取决与双方支持的加密算法和加密强度,如:浏览器只支持 56 位,服务器支持 256 位,如果服务器没有部署支持强制 128 位加密的 SSL 证书,则加密强度为 56 位;而如果服务器已经部署支持强制 128 位加密的 SSL 证书,则加密强度为 128 位。
(4) 如果用于交换对称密钥的公钥长度不够长,如:512位,1024位,则有可能用于对称加密的密钥会被破解,则再长的对称加密算法也没有用。所以,为了您的系统安全,一定要确保SSL证书的根证书、中级根证书和您的SSL证书都是使用2048位公钥!
(4) 请参考有关知识文章: http://www.wosign.com/Basic/howsslwork.htm
http://www.wosign.com/Basic/aboutPKI.htm
http://www.wosign.com/Basic/encryption.htm
...全文
请发表友善的回复…
发表回复
qishine 2010-07-14
- 打赏
- 举报
看清楚这也是你贴的地址里提到的.
If notified by a CA that they have issued 2 year end-certificates right up to the end of the NIST deadline of December 31, 2010, the CA may request and we will assign a root certificate removal date of December 31, 2012, to allow end-certificates that rely on the root certificate to expire.
If notified by a CA that they have issued 2 year end-certificates right up to the end of the NIST deadline of December 31, 2010, the CA may request and we will assign a root certificate removal date of December 31, 2012, to allow end-certificates that rely on the root certificate to expire.
qishine 2010-07-14
- 打赏
- 举报
微软说了,只要还有一张1024位的证书有效.它的根证就不会被从Windows里去掉,直到所有的证书都过期了,这张根证才会被移掉.
ilgold 2010-07-13
- 打赏
- 举报
WoSign(深圳沃通电子)的二级根证书是国外的垃圾安全公司签发的,表面上受信(浏览器默认可信),其实是不合规范要求的,因为该公司没有通过WebTrust认证,实际上以这家公司的实力是不可能通过的。所以强烈不建议大家购买沃通的证书,至于1024位与2048位的问题,根本不像沃通说的那么严重,只是说理论上不太安全,但是目前还没有黑客能够顺利破解,有本事沃通你破解试试看啊!而且,微软也并不打算真的抵制1024位的根证书,因为绝大部分用户还在使用1024位,所以微软肯定会服务于市场现状,而对于VeriSign、GeoTrust这样的大公司而说,升级到2048还是很容易的事情。
nvliumang 2010-06-29
- 打赏
- 举报
不会是广告吧?
globalsign 2010-06-29
- 打赏
- 举报
GlobalSign
GlobalSign成立于1996年,是一家声誉卓著,备受信赖的CA中心和SSL数字证书提供商。作为公众信任服务行业的领头羊,GlobalSign自其成立伊始,一直致力于网络安全认证及数字证书服务,并在全球拥有众多合作伙伴。 2006年10月,GlobalSign迎来了再次腾飞的新机遇。正式成为日本上市公司GMO Internet Inc(东京证券市场代码:9449)旗下公司后,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的GlobalSign。如今,日本国内每4个网站中,就有1个使用GlobalSign的安全证书。 “让越来越多的人,安心的享受互联网的便利”,这是我们最大的愿望; “让互联网更可信”,这是我们追求的目标。 全球证书管理机构 GlobalSign 是一个具有很高可信度并且发展良好的证书管理机构和SSL 提供商。 作为公众信任服务行业的领头羊,GlobalSign 自1996年起开始颁发可信赖的数字证书――从一些已经广泛普及的公众根中提供公众信任。这些可信任的根能够为所有的操作系统、主要网站浏览器、服务器、e-mail 客户端以及互联网应用程序等识别,而且还包括了一些别的装置,如智能电话(Smartphone )(例如可参考微软可移动项目合作伙伴(Microsoft Mobile Program Partners), Palm 以及主要的PDA和移动电话。 最高水平的信任度 做为一个WebTrust认可的公共证书管理机构,GlobalSign提供了受公众信任的SSL(标准版以及新型扩展版EV),S/MIME和代码签名证书。 这些核心的解决方案可使我们成千上万的企业客户进行安全的在线交易和提交数据,并提供防篡改的可分配代码从而能够让使用者身份与客户证书进行捆绑以保证E-MAIL的安全以及远程双重认证,如SSL VPN。 悠久的历史 广阔的未来 GlobalSign 曾经拥有众多背景各异的投资商,包括一些大型银行以及上市公司。这种良好的信誉背景、专家团队以及清晰的洞察力帮助GlobalSign 成长为一个基于高安全性数字证书方面的龙头企业,并承接了颇多有影响的政府工程项目。GlobalSign合作伙伴群体中包括很多著名的联盟会员,并在全球范围内选择企业客户。 GlobalSign集团全球官方网站: 日本 http://www.globalsign.co.jp 美国 http://www.globalsign.com 中国 http://cn.globalsign.com SSL证书: 域名型证书(DVSSL)用仅仅几分钟即可颁发的GLOBALSIGN 256位域名型 SSL证书来保障您的网站安全,有时候网站安全的需求并不仅仅体现在办公时间段,这也正是为何GLOBALSIGN设计出256位域名SSL证书的目的:花费短短几分钟的时间就可部署所有主流浏览器以及移动设备上来保障你的网站和交易的安全。 企业型证书(OVSSL)256位高强度SSL证书来保障您网站的安全,严格审查网站的真实身份,确保网站身份的真实可靠。当网站的访问者们提交任何信息时, 无论是付款详情、登录密码、还是其他基于Internet的交易信息,都希望看见那把小锁的存在。SSL证书激活的那把安全小锁使用了HTTPS,能使你的客户和访问者明白他们和你网站的交流采用了当今世界上最强大的加密技术。企业型SSL证书可以提供给客户的是非常之的真实,完整,保密和不可否认。 增强型证书(EVSSL)激活新的IE7绿色地址栏,Vista 界面上的新产品IE 7 –支持EV SSL ,EV 证书激活这个新的绿色界面并且现在在安全锁区域会交替出现你的公司的名字、国家以及颁证权威机构——即具有良好信誉和悠久历史的GlobalSign做为一个自从2002年以来的WEBTRUST认证权威机构(世界上时间最长的一个),GlobalSign 基础设施建设现已准备就绪,可支持颁发EV 证书必须的在新的标准化验证程序上进行的快速反馈。 代码签名证书: Microsoft Authenticode和其他技术 技术被用于在要运行Windows 9x, XP以及Vista 操作系统中的应用程序签名上。要使用Authenticode ,开发商必须受获颁发一个信任代码签名证书, 如ObjectSign. 使用证书进行了签名的应用程序将“未知发行商”变为“已知发行商”信息,该信息显示该软件开发商的公司名称。其他技术使用类似的执行程序;最基本的一点在判明应用程序开发商的身份之前,应对所有的要求程序进行签名。 支持64位系统内核模式,即为交叉签名,目前通过Microsoft认证的只有GlobalSign和Verisign。
GlobalSign成立于1996年,是一家声誉卓著,备受信赖的CA中心和SSL数字证书提供商。作为公众信任服务行业的领头羊,GlobalSign自其成立伊始,一直致力于网络安全认证及数字证书服务,并在全球拥有众多合作伙伴。 2006年10月,GlobalSign迎来了再次腾飞的新机遇。正式成为日本上市公司GMO Internet Inc(东京证券市场代码:9449)旗下公司后,崭新的销售管理模式和强大的技术支持将会为用户带来一个更值得信赖的GlobalSign。如今,日本国内每4个网站中,就有1个使用GlobalSign的安全证书。 “让越来越多的人,安心的享受互联网的便利”,这是我们最大的愿望; “让互联网更可信”,这是我们追求的目标。 全球证书管理机构 GlobalSign 是一个具有很高可信度并且发展良好的证书管理机构和SSL 提供商。 作为公众信任服务行业的领头羊,GlobalSign 自1996年起开始颁发可信赖的数字证书――从一些已经广泛普及的公众根中提供公众信任。这些可信任的根能够为所有的操作系统、主要网站浏览器、服务器、e-mail 客户端以及互联网应用程序等识别,而且还包括了一些别的装置,如智能电话(Smartphone )(例如可参考微软可移动项目合作伙伴(Microsoft Mobile Program Partners), Palm 以及主要的PDA和移动电话。 最高水平的信任度 做为一个WebTrust认可的公共证书管理机构,GlobalSign提供了受公众信任的SSL(标准版以及新型扩展版EV),S/MIME和代码签名证书。 这些核心的解决方案可使我们成千上万的企业客户进行安全的在线交易和提交数据,并提供防篡改的可分配代码从而能够让使用者身份与客户证书进行捆绑以保证E-MAIL的安全以及远程双重认证,如SSL VPN。 悠久的历史 广阔的未来 GlobalSign 曾经拥有众多背景各异的投资商,包括一些大型银行以及上市公司。这种良好的信誉背景、专家团队以及清晰的洞察力帮助GlobalSign 成长为一个基于高安全性数字证书方面的龙头企业,并承接了颇多有影响的政府工程项目。GlobalSign合作伙伴群体中包括很多著名的联盟会员,并在全球范围内选择企业客户。 GlobalSign集团全球官方网站: 日本 http://www.globalsign.co.jp 美国 http://www.globalsign.com 中国 http://cn.globalsign.com SSL证书: 域名型证书(DVSSL)用仅仅几分钟即可颁发的GLOBALSIGN 256位域名型 SSL证书来保障您的网站安全,有时候网站安全的需求并不仅仅体现在办公时间段,这也正是为何GLOBALSIGN设计出256位域名SSL证书的目的:花费短短几分钟的时间就可部署所有主流浏览器以及移动设备上来保障你的网站和交易的安全。 企业型证书(OVSSL)256位高强度SSL证书来保障您网站的安全,严格审查网站的真实身份,确保网站身份的真实可靠。当网站的访问者们提交任何信息时, 无论是付款详情、登录密码、还是其他基于Internet的交易信息,都希望看见那把小锁的存在。SSL证书激活的那把安全小锁使用了HTTPS,能使你的客户和访问者明白他们和你网站的交流采用了当今世界上最强大的加密技术。企业型SSL证书可以提供给客户的是非常之的真实,完整,保密和不可否认。 增强型证书(EVSSL)激活新的IE7绿色地址栏,Vista 界面上的新产品IE 7 –支持EV SSL ,EV 证书激活这个新的绿色界面并且现在在安全锁区域会交替出现你的公司的名字、国家以及颁证权威机构——即具有良好信誉和悠久历史的GlobalSign做为一个自从2002年以来的WEBTRUST认证权威机构(世界上时间最长的一个),GlobalSign 基础设施建设现已准备就绪,可支持颁发EV 证书必须的在新的标准化验证程序上进行的快速反馈。 代码签名证书: Microsoft Authenticode和其他技术 技术被用于在要运行Windows 9x, XP以及Vista 操作系统中的应用程序签名上。要使用Authenticode ,开发商必须受获颁发一个信任代码签名证书, 如ObjectSign. 使用证书进行了签名的应用程序将“未知发行商”变为“已知发行商”信息,该信息显示该软件开发商的公司名称。其他技术使用类似的执行程序;最基本的一点在判明应用程序开发商的身份之前,应对所有的要求程序进行签名。 支持64位系统内核模式,即为交叉签名,目前通过Microsoft认证的只有GlobalSign和Verisign。
l172025396 2010-06-26
- 打赏
- 举报
广告...........?
skyhome2008 2010-06-23
- 打赏
- 举报
看微软网站上的原文,下面有链接
In light of recent progress in mounting MD5 collision attacks against MD5 certificates, we have advised Certificate Authorities who are members of the Program to stop issuing MD2, MD4 or MD5 certificates from any root certificate distributed by the Program, effective immediately. We have also advised them to transition their subordinate and end-certificates to 2048-bit RSA certificates, and to complete this transition for any root certificate distributed by the Program no later than December 31, 2010. And we have clarified the Program Technical Requirements to state that we will remove 1024-bit root certificates from distribution by the Program no later than December 31, 2010, except as provided by Microsoft.
http://technet.microsoft.com/en-us/library/cc751157.aspx
In light of recent progress in mounting MD5 collision attacks against MD5 certificates, we have advised Certificate Authorities who are members of the Program to stop issuing MD2, MD4 or MD5 certificates from any root certificate distributed by the Program, effective immediately. We have also advised them to transition their subordinate and end-certificates to 2048-bit RSA certificates, and to complete this transition for any root certificate distributed by the Program no later than December 31, 2010. And we have clarified the Program Technical Requirements to state that we will remove 1024-bit root certificates from distribution by the Program no later than December 31, 2010, except as provided by Microsoft.
http://technet.microsoft.com/en-us/library/cc751157.aspx
太虚野老 2010-03-12
- 打赏
- 举报
广告...........
qishine 2010-03-12
- 打赏
- 举报
妖言祸众,
人家都升到本2048位了,
除非MS强推更新,否则1024位的证书依然会被信任
人家都升到本2048位了,
除非MS强推更新,否则1024位的证书依然会被信任
