Фон
Я видел, что у Comodo есть корень эллиптической кривой («Центр сертификации COMODO ECC»), но я не вижу упоминаний о сертификатах EC на их веб-сайте.
Имеет ли Certicom права интеллектуальной собственности, которые мешают другим эмитентам предлагать сертификаты EC? Неужели широко используемый браузер не поддерживает ECC? Является ли ECC плохо подходящим для традиционного использования PKI, такого как аутентификация веб-сервера? Или на него просто нет спроса?
Я заинтересован в переходе на эллиптическую кривую из-за рекомендации NSA Suite B. Но это не кажется практичным для многих приложений.
Критерий щедрости
Чтобы получить вознаграждение, в ответе должна быть ссылка на страницу или страницы на известном веб-сайте CA, в которой описаны предлагаемые варианты сертификатов ECC, цены и способы их приобретения. В этом контексте «общеизвестный» означает, что надлежащий корневой сертификат должен быть включен по умолчанию в Firefox 3.5 и IE 8. Если предоставляется несколько подходящих ответов (можно надеяться!), Тот, который имеет самый дешевый сертификат от вездесущего CA выиграет награду. Если это не устранит какие-либо связи (все еще надеюсь!), Я должен буду выбрать ответ на свое усмотрение.
Помните, кто-то всегда требует по крайней мере половину награды, поэтому, пожалуйста, сделайте это, даже если у вас нет ответов на все вопросы.
источник
Ответы:
Сейчас они выпускаются Comodo как часть их предложения PositiveSSL. Я не могу сказать, что они рекламируют это слишком хорошо, но живое доказательство по математике существует:
источник
Я хотел немного углубиться в это, поэтому я связался с людьми из Comodo, которые отвечают за их ECC CA. После небольшой перемотки они сказали мне, что Comodo сообщили, что им нужна лицензия от Certicom / RIM, прежде чем они смогут выдавать сертификаты ECC, и что они в настоящее время обсуждают с ними вопросы лицензирования. Они не дали ETA для завершения этих обсуждений, так что кто знает, когда вы действительно можете купить сертификат.
источник
В качестве быстрого обновления, сегодня Cloudflare развернул новый сертификат для своего блога, подписанного Comodo и использующего ECC ... Я думаю, что ECC для широкой публики скоро появятся.
https://blog.cloudflare.com/
А Verisign (теперь Symantec) предлагает ECC в своей серии сертификатов Secure Site Pro
источник
Нашел по ссылке, что нашел полезным. http://www.entrust.net/ecc-certs/index.htm
По сути, NSA Suite B не является глобально доверенным (на корневом уровне), и в настоящее время ни один ЦС (по состоянию на октябрь 2012 г.) не предлагает SSL-сертификаты, соответствующие стандарту. Вы можете подписать свой собственный сертификат, но современные браузеры будут отображать очень обескураживающее предупреждение для пользователей. Обычно сертификаты NSA Suite B интегрированы в приложения, которые подключаются непосредственно к защищенным серверам. Имейте в виду, что в браузерах есть недостаток поддержки для ECC. ECC является частью TLS 1.1, которая по умолчанию поддерживается только в Chrome v22 + [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]
источник
Я не верю, что Certicom предотвращает использование эллиптической кривой, которую Центр сертификации MS2008 предлагает Suite B. Я уверен, что поэтому последняя версия Windows-клиентов в 7 поддерживает его использование. Я собираюсь взглянуть, это будет криптографический подсистема MS, которая должна будет поддерживать его (CryptoAPI), и это имеет подключаемую архитектуру CSP, которая позволит ему поддерживать его довольно легко.
Из доверенной документации по теме взято следующее:
Все основные программные продукты CA поддерживают ECDSA как для подписи сертификатов и CRL, так и для открытых ключей конечных пользователей. Таким образом, для приложений, которые требуют только аутентификации и цифровых подписей, не должно быть затруднений при поиске подходящего продукта CA. Более медленный темп стандартизации для согласования ключей на основе ECC добавляет некоторую неопределенность для приложений, которые также требуют шифрования. Однако все основные поставщики программного обеспечения CA имеют расширенные планы по поддержке ключей ECDH в сертификатах конечных пользователей. Таким образом, планирование в этой области несет лишь незначительный риск. Реализация, с другой стороны, должна ждать реализации этих планов в сфере доставки продукции.
ECC требует меньше вычислительной мощности, чем RSA, и поэтому полезен для встроенных систем, таких как смарт-карты, и для устройств с менее мощными процессорами, таких как беспроводные маршрутизаторы. Это может быть полезно для веб-серверов, поскольку для поддержки операций обмена ключами TLS потребуется меньше обработки веб-сервером с очевидными преимуществами для поддержки большого объема защищенного трафика. Я думаю, что эти факторы будут стимулировать спрос, а также будет высокий спрос со стороны государственного сектора во всем мире, который уделяет пристальное внимание NIST. Это также поможет продвинуть технологию, поскольку продавцы стремятся продавать в этом секторе.
Марк Саттон
http://www.blacktipconsulting.com
источник