4096ビットの暗号化されたSSL証明書を使用することに不利な点はありますか?
私は最近GoDaddyを介してSSL証明書をリクエストしており、次のメッセージに気付きました。
過去に2048ビットのCSRリクエストを常に生成していましたが、今回はおそらく「ステップアップ」する必要があると考えさせられ、次のステップは4096ビットバージョンになると思われます。
4096ビットSSL証明書に関する情報はあまり多くありませんが、どうやら多くの人がどうしてもアップグレードが必要になるまで1024ビット証明書を使用しており、一部のブラウザーは1024ビット証明書をサポートしなくなりました。
ブラウザは4096ビット証明書をどのようにサポートしていますか? GoDaddyが「少なくとも」2048ビットの証明書を必要とする場合、それで十分ですか、それとも何かを試してみるべきですか?もしそうなら、長所と短所は何ですか?
PS:GoDaddyのメッセージにある2つのリンクは CSRヘルプ と 詳細 です。どちらも非常に役に立ちませんでした。
ほとんどすべての*ブラウザは4096ビットキーをサポートします。遭遇する問題は、大きなキーではキー交換が遅くなり、サーバーの負荷が増加し、クライアントのページの読み込みが遅くなることです。
一般に、2048ビットキーは当面の間安全であると考えられています。ただし、中間ステップが必要な場合は、3072ビットキーが真ん中にあります。
*:唯一の例外は、いくつかの奇妙な古いモバイル/組み込みブラウザーです。
Amazon CloudFrontを使用する場合、 最大2048ビットのキーのみをサポートします 本日現在。
参照:
4096ビットのSSL証明書がある場合、一部のクライアント(特に Javaベースのクライアント および古いクライアント)をサポートするために、2048ビットまたは1024ビットのDiffie-Hellmanキーを生成して追加しますサーバー証明書に追加します。ただし、1024ビットDHキーをサポートする場合は、 Logjam 攻撃にも注意する必要があります。適切なサイズのDHキーを追加することにより、これらのクライアントに簡単に対応できますが、最初にサポートするクライアントを慎重に検討してください。
SOOO OLDスレッドに回答して申し訳ありませんが、4096証明書を作成しない「NOT」の主なポイントは、CA証明書は2048であるため、サブ証明書4096を作成することは無意味です...代わりにCA証明書。