, advarsel fra microsoft at hele internettet: sørg for, at dit digitale certifikater er mindst 1024 bit.i oktober 2012, 9, længere centrale længde er obligatorisk for alle digital kryptering certifikater, der rører vinduer systemer., betyder dette, at internet explorer vil nægte adgang til websteder, der ikke har nøglerne med minimale længde af rsa 1024 bit.du vil ikke være i stand til at udveksle krypterede e - mails, løb activex kontrol eller installere ansøgninger på vinduer.det er ikke noget nyt, som microsoft begyndte at meddelelser om dette for godt et år siden.,, hvis din første reaktion er "der røg redmond, at resten af verden rundt igen!"tænk over det.1024 bit centrale længde er allerede betragtes som forældede, så hvis du hænger på 1024 bit nøgler eller svagere, du beder om problemer.det nationale institut for standarder og teknologi. 800-57 anbefaler rsa centrale længden af 2048 eller. 3072 bits.nist beregner, at 2048 lidt nøgler er godt, indtil 2030, og så vil de være let skrøbeligt med rå magt.3072 lidt nøgler har forudsagt levetid for "længere." så 4096bit - rsa nøgler har levetid for "meget, meget længere." hvad nu?,, hvis du tager nogle vinduer systemer, begynde på rsa 1024 bit keyes er blokeret.det fortæller, hvordan du finder svag nøgler, og hvordan til at opgradere. resten af os skal bruge andre midler.openssl har en masse værktøj til være ssl certifikat.brug denne besværgelse for at få oplysninger om deres lokale webserver, og se, om følgende oplysninger:,, $openssl s_client - showcerts - forbinde localhost: 443 - attest om = /ou = område kontrol validerede /ou = essentialssl farlig /cn = *. munge.com udsteder = /c = gb /st = greater manchester /l = salford /o = comodo ca begrænset /cn = essentialssl ca - nye, tlsv1 /sslv3, det er dhe-rsa-aes256-sha server offentlige nøgle er 2048 lidt, kan du prøve fjerntliggende servere, som erstatter deres ip - adresser for "localhost." eksempel viser, at serveren er ssl certifikat er kontrolleret af en kommerciel certifikat myndighed, comodo,, at det støtter en stærk protokoller tlsv1 /sslv3, og bruger meget stærke aes256 symmetrisk kryptering algoritme, du.kan du en mailserver på samme måde:,, $openssl s_client - showcerts - forbinde mailserver: 995, eller en ftp - server:,, $openssl s_client - showcerts - forbinde ftpserver: 21, du får at vide, hvor jeres ftp er konfigureret, fordi det varierer.ftp /ssl er normalt tcp port 21 eller 990, og sftp er normalt tcp port 115, men nogle gange går det over tcp port 22.,, algoritme, forvirring, et fælles punkt forvirring er de forskellige krypteringsalgoritmer, der anvendes af openssl.i ovenstående eksempel rsa nøgle er 2048 bit, men aes nøgle er 256 bit.den rsa centrale beror på et asymmetrisk algoritme.den bruger et par af krypteringsnøgler, offentlige og private.den offentlige nøgle encrypts og den private nøgle afkoder.du kan smide en række offentlige nøgler i verden, så andre kan sende krypterede beskeder, og du har kun brug for at holde styr på en enkelt privat nøgle til at afkode dem.det er en smart måde at let at oprette krypterede meddelelser,.,, symmetriske algoritmer kræver, at begge parter har samme nøgle til kryptering og dekryptering.det har indlysende ulemper, ligesom at finde ud af, hvordan man sikkert deler de nøgler, og som hemmelige, når mere end én person ved det, er det ikke længere en hemmelighed.men symmetriske algoritmer er effektiv og ikke har brug for stor regnekraft.,, en typisk ssl samling er en travl lille ting med alle mulige ting, der er sket, og det udnytter de forskellige styrker af asymmetriske og symmetriske algoritmer.den asymmetriske rsa centrale gør det muligt for nogen at etablere en krypteret net møde uden at have et præ - delt nøgle, men på bekostning af betydelige cpu kredsløb.når mødet er etableret, nye symmetrisk nøgler genereres og udveksles for at kryptere den resterende del af sessionen.,, hvordan internettet, ser du,,, jeg elsker websteder, der lod dig teste din servere, og der er mange af dem.qualys ssl laboratorier har en ssl - test.test - og du vil se, en betænkning som figur 1. det går på at give detaljerede oplysninger om støtte - koderne rsa afgørende styrke, understøttede protokoller, og det siger, at hvis det er sårbare over for udyret angreb.,, hvad webbrowser ser, webbrowser udviklere bliver strengere om ssl oplysninger, som de har.i gamle dage var der en lille hængelås på bunden, og du valgte den at se ssl oplysninger.nu har de forskellige indikatorer.chrom bruger lille farvede hængelåse, en almindelig side ikon, og andre indikatorer.klik på dem for at få alle detaljer.,,,,, firefox er enklere og hårdere.en grå verden viser et blandet http //https side, en grå hængelås er en https side, og kun lokaliteter, der betaler mondo dollars for udvidet validering certifikater have grønt lås.firefox holder skiftende ssl indikatorer, så det kan være forældede oplysninger i morgen.for i dag, figur 2 viser den samme side i firefox (øverst) og chrom.denne side bruger meget stærk kryptering, men det er stadig ikke på en lidt farve i firefox, bare kedelige gray.,, forbedre deres digitale certifikater, er jeg bange for, at jeg ikke har en enkel løsning på anmodning eller opgradering af deres digitale certifikater.din opgradering af metode afhænger af, om deres certifikater er selvskabt eller fra en kommerciel leverandør, og hvordan deres public key infrastructure (pki) er oprettet.hvor stærk, bør du gøre dem?du burde lave nogle test, inden den træffer beslutning, fordi den computerkraft, der kræves til højere niveauer stiger stejlt kryptering.så hvis du tænker på, du vil gå efter gustoen og bruge 4096bit - rsa - nøgler og fremtidssikrede dig for evigt, prøv og se, hvordan det påvirker server ydeevne og brugernes erfaringer.den nist - mener, at. lidt nøgler skal være godt ud over den forventede levetid i år 2030 2048 lidt nøgler. det er også en god tid til at kontrollere din server konfigurationer, og at begrænse, hvem de vil acceptere forbindelser fra.apacherne software - instituttet har en god guide, apache ssl /tls - kryptering, der ikke kun er til nytte for konfigureringen apache, men for at forstå ssl /tls.,, selv om det kun er en stor smerte, se på den lyse side. hvis du har været uden held har forsøgt at overtale din chef, at du har tre år til at blokere sslv1 og 40 lidt symmetrisk nøgler, microsoft at gøre dig en tjeneste.