回应赛迪网文章《 VeriSign: 根证书密钥全线升级》 (发布时间:2010-3-11, 2010年第4号,总第76号) |
WoSign 作为一个负责任的数字证书技术和市场领先的服务提供商,由于及时向公众发布了事实真相(参见新闻《 WoSign 证书颁发系统全面支持 2048位数字证书 》),而遭遇竞争对手借媒体之手的漫骂为“不良企业”。为了还公众一个明白,为了确保我国重要的网银系统和重要信息系统的安全,笔者不得不奋笔疾书,写下此回应文章。 笔者认为赛迪网文章《 VeriSign: 根证书密钥全线升级 》是 VeriSign 的代理商天威诚信在误导和愚弄用户,是想瞒天过海混过关,所以非常有必要就文章中重要的 3 点回应如下: 1. 原文: 对于此次密钥升级行动,部分不良企业借机大肆宣称 “1024 位根证书已报严重漏洞,将被微软禁用和删除的虚假消息 ” 。 回应: 1024 位根证书已经不安全了,这是事实;微软将于 2010 年 12 月 31 日 把所有 1024 位根证书从受信任的根证书列表中删除,这也是微软网站上讲的,怎么就成为了虚假消息了呢?稍微懂一点英文的人看过微软网站上的文章就知道这是事实,笔者不妨摘录两段原文并翻译如下: The compromise of 1024-bit RSA will affect end entity and subordinate CA certificates, in addition to root certificates. NIST had provided public guidance not to rely on 1024-bit RSA after December 31, 2010. Our primary strategy is to ask CAs to move away from 1024-bit certificates and onto 2048-bit RSA or stronger certificates as quickly as possible, but in no case later than NIST guidance. For CAs that still rely on 1024-bit RSA certificates at the time of a 1024-bit RSA compromise attack, their businesses may be disrupted.( 采用不安全的 1024 位 RSA 算法的根证书会影响到最终用户证书和其中级根证书。 美国国家标准技术研究院 ( NIST) 已经发布公告指引,要求于 2010 年 12 月 31 日 之后 不要再使用 1024 位 RSA 算法。我们的主要策略是要求各受信任的根证书颁发机构必须在 NIST 规定的期限内尽快升级 1024 位根证书到 2048 位或更高位数的根证书。那些仍然依赖于 1024 位 RSA 证书的证书颁发机构,如果遭到 1024 位弱加密强度攻击的话,他们的业务可能会中断。 )
回应:真的能平稳过渡吗?真的解决安全问题了? VreiSign 启用的 2048 位新根证书并没有在 Windows 95/98/2000/XP 等低版本操作系统和低版本浏览器中预置,使用低版本浏览器的用户访问由新根证书颁发的 SSL 证书时会出现此证书不受信任的警告。为了实现所谓的平稳过渡,唯一的办法只能是用老的 1024 位根证书交叉签名新的 2048 位根证书,这样低版本浏览器才不会有安全警告。 下图为 VeriSign 网站上让大家测试用的启用新根证书的证书链截图: 这种所谓的“领先的交叉认证服务方式”仍然没有彻底解决问题,因为其根证书仍然是不安全的将于 2010 年 12 月 31 日 删除的 1024 位老根证书。 VeriSign 的解决方案仍然有安全隐患,使得 70% 左右的低版本操作系统和低版本浏览器用户仍然面临安全风险。
回应: VeriSign EV SSL 证书仍然有 1024 位安全问题。又是 VeriSign “领先的交叉认证服务方式”惹得祸。 VeriSign 为了解决低版本浏览器 ( 如 IE6) 不支持 EV 绿色地址栏和没有颁发 EV SSL 证书的根证书问题,使用了目前正在广泛使用的 1024 位根证书 (Class 3 Public Primary CA) 来交叉签名其 EV 根证书,在低版本浏览器访问时其顶级根证书还是不安全的 1024 位根证书。也就是说:即使网银系统部署的是 VeriSign 2048 位 EV SSL 证书,对于 70% 左右的低版本浏览器网银用户来讲,还是不安全的。如下图所示:
相信大家看了以上剖析,就一定能明白其中的道理,也就一定不会被所谓的“ VeriSign 作为 CA 业界的领头人,也是 SSL 证书、代码签名证书等数字证书保有量最大的数字认证中心。”的谎言所迷惑! VeriSign 的 1024 位根证书问题是无法解开的死结,大家 不要由于盲目相信厂商的话而耽误了自己系统的安全! 从 2011 年 1 月 1 日起 ,数字证书正式进入 2048 位时代! VeriSign 作为数字证书 1024 位时代的市场领导者必将被市场淘汰出局!一定要看清形势,及时替换您的 SSL 证书为根证书和中级根证书现在就是 2048 位的数字证书颁发机构的 SSL 证书,如:WoSign 全系列SSL证书! |