Thawte / GeoTrust / VeriSign 2048ビットルート移行および中間SSL証明書

最近、当社のサイトの1つでこのアップグレードを行ったところ、SSLがどのように機能するかを完全に理解していないこと、およびいくつかの明確化が必要であることがわかりました。

簡単に言うと、SSLキー（任意の順序）はチェーン上の一連のキーです。非常に大きな素数（キー）を乗算するPUBLIC-PRIVATEプロセス（チェーン）を通過するハンドシェイクメソッドがあります。

質問1：1024ビットのルートは2048ビットのルートとどう違うのですか？

まず、キーは2倍の大きさです。計算上の「クラッキング」に関しては、これが原因であり、指数関数的に時間がかかります。私が最後に聞いたのは、（私が間違っている可能性がある）Seti @ homeなどの大規模なマルチシェアリングは、6か月未満で256ビットキーを解読することができました。ただし、このサイズの2倍のキーには、最低4倍の時間がかかります。これは、バッハマン–ランダウ表記法の問題です。当然、1024ビットキーは16回かかり、2048ビットキーは32回かかります。

512bキーへのブルートフォースは、一度にXYZ MhZの速度で1.2兆処理年かかると考えられていたため、これまでキーサイズをアップグレードする必要があると考えるのは面倒でした。

しかし、悲しいかな、私たちは持っています。

現在、「P対NP」をミレニアム賞として、より多くの人々が、大きな大きな大きな素数を因数分解する際に当て推量をフィルタリングすることを見ています。

質問2：中間証明書はどのように機能し、どのようなメリット/デメリットがありますか？

...

サーバーに中間証明書をインストールすると、古いブラウザーが証明書を有効なものとして受け入れるようになりますか？

ブラウザーごとに異なるExtend Verificationルーチンまたはプロバイダーが存在する可能性があります。 （おそらくない！）

また、異なるWebサーバーが異なる拡張検証ルーチンまたはプロバイダーを持っている可能性があります。 （おそらくない？それほど可能性は低い！）

実際にSSLを実行するコードベースの例は、PHPの OpenSSL です。

さまざまなサーバーやさまざまなコードベース向けに、このような多くの種類のライブラリがあります。サーバー、ライブラリビルド、またはキー自体でさえ、レガシーコードに問題がある可能性があります。

インターネットのセキュリティはアップグレードやプロセスフローの変更を随時行うため、新しい2048ビットキーはより多くのキーやチェーンを持っていると言っても安全でしょう。非常に現実的な側面では、これは減価償却されたルーチンと見なされるものに異常な動作を引き起こす可能性があります。

したがって、中間証明書が問題を修正する理由は、オプションの後方互換証明書との非互換性を修正します。