Konec 1024-bit SSL certifikátů

Není to konec světa, ale jen konec starých SSL certifikátů s klíčem o délce 1024-bit.

Podle nového standardu budou na základě doporučení americké NIST a rozhodnutí CA/Browser Forum k prvnímu dni v roce 2014 revokovány všechny 1024-bit SSL certifikáty a prohlížeče ukončí jejich podporu.

Od 1. ledna 2014 se tak prakticky stane to, že při přístupu na servery zabezpečené těmito starými 1024-bit SSL certifikáty, bude uživateli zobrazeno varování webového prohlížeče o nedůvěryhodném SSL certifikátu.

Staré SSL certifikáty s klíčem o délce 1024-bit nebudou od 1. ledna 2014 nadále funkční.

Do konce roku 2013 se správci serverů musí bez kompromisů vypořádat s přechodem na nové 2048-bit SSL certifikáty.

Přechod na 2048-bit SSL

Doba se opět posunula a s ní i výkon počítačů, které jsou schopné prolomit 1024-bit šifrování.

Dvojnásobná délka klíče zajišťuje 2³² krát (tedy téměř 4,3 miliard krát) silnější šifrování, které dnešní sebevýkonnější počítače neprolomí. S tímto šifrováním se počítá i do budoucna, takže nás výhledově vůbec nečeká nutnost přechodu na silnější 4096-bit šifrování.

Se silnějším šifrováním jsou spojené i vyšší nároky na výpočetní kapacitu serveru. Klíč o délce 2048-bit je vhodným kompromisem mezi 1024-bit a extrémními 4096-bit klíči, při jejichž použití by již byly nároky na výkon mnohem citelnější.

V roce 2014 se nicméně můžete těšit na nové a silnější ECC šifrování s kratším šifrovacím klíčem.

Co je třeba udělat?

Máte-li SSL certifikát od SSLS.CZ, pak není třeba dělat nic — Váš SSL certifikát je s jistotou 2048-bit, neboť 1024-bit CSR (Certificate Signing Request) žádosti vůbec nepřijímáme.

Pokud máte starý 1024-bit SSL certifikát od jiného poskytovatele a je-li datum expirace před 31.12.2013, je nutné provést přegenerování SSL certifikátu (tzv. reissue) s novou 2048-bit CSR žádostí. Je-li datum expirace po 01.01.2014, je nutné SSL certifikát nejprve revokovat (zneplatnit) a provést přegenerování SSL certifikátu s novou 2048-bit CSR žádostí.