Mar 232015
 

2048bitarSäkerhetmarknades ändras ständigt. För några år sedan accepterades certifikat med 512 bitars nyckelstorlek. Idag kan en sådan nyckel knäckas ganska lätt. Processorerna blir allt kraftfullare och då måste kryptot bli starkare – därför accepteras bara certifikat med minst 2048 bitars nyckelstorlek idag. Dom här stora nycklarna används i inledningen av en TLS-session för identifiering och skapande av en sessionsnyckel, som har en mindre storlek.

Större nycklar accepteras också. Om du testar på sajten TLS-O-MATIC.COM (som drivs av vårt systerbolag Edvina) så är nyckelstorleken 4096 bitar. Den sajten har också en modern TLS-konfiguration för stark kryptering, som gör att den klassades med ett stort A i Qualys SSL-TEST.

ssl-browser-lockEn del av säkerheten för en nyckel är livslängden. En lång livslängd är inte bra. Därför rekommenderar vi alltid att man byter nyckelpar när ett certifikat förnyas. Nu har CAB Forum som sätter branchstandarden för certifikat bestämt att kommersiella certifikat ska ha en maximal livslängd på tre år. Det är ett bra beslut.

Har du frågor om certifikat, TLS och behöver hjälp i snårskogen – hör av dig till oss!

ansokidag

Jan 202012
 
TLS och SSL för säkra sessioner!

Webway har tagit fram en kort presentation av vad certifikat är och hur det fungerar. Här hittar du information om vad CSR är och vad den gör, hur nycklar hör ihop med certifikatet och mycket mer. Du kan läsa presentationen här:

 

Jan 162012
 

Sedan ett år tillbaka kräver alla certifikatutfärdare att du har nycklar med minst 2048 bitars längd. Det är ett sätt att höja säkerheten på nätet i takt med att datorerna blir mer och mer kraftfulla. Det som var säkert för tio år sedan är inte säkert nu, när en standard-PC har flera CPU-kärnor med en massiv kapacitet.

När används Certifikat-nycklarna?

Nycklarna i certifikaten används för att kontrollera en servers (och kanske också en klients) identitet vid start av en TLS eller SSL-session. Med stöd av dessa starka nycklar skapas en kortare krypteringsnyckel som används för att kryptera dataströmmen. Den används bara för sessionen och kastas därefter. Att kryptera hela dataströmmen med nycklar på 2048 bitar skulle ta alldeles för mycket kapacitet. Genom att använda dessa för att skydda identitetskontroll och utbyte av nycklar för kryptering av sessionen får man en hög säkerhet.

Vad innebär det här för mig?

Om du har ett gammalt certifikat du ska förnya, så måste du skapa nya nycklar och skapa en ny CSR – oavsett vilken webbserver du använder. Att byta nycklar med några års mellanrum är förmodligen en bra idé ändå. Om du söker ett nytt certifikat, så ska du ange minst 2048 bitar när du startar processen med att skapa en CSR och därmed generera nycklarna.

Om programvaran inte stödjer mer än 1024 bitar?

Om din programvara är så gammal att den inte stödjer större nyckellängd än 1024 bitar så har du inget val annat än att uppgradera programmet. Certifikatutfärdarna gör inte några undantag som innebär en lägre säkerhet i certifikatkedjan.