In X.509, una CA può utilizzare qualsiasi algoritmo di firma, indipendentemente dal tipo di chiave nei certificati firmati. Teoricamente , se sia la CA che il certificato firmato utilizzano chiavi DSA o EC, e le due chiavi condividono gli stessi parametri di gruppo (cioè funzionano sulla stessa curva, per le chiavi EC), la designazione di la curva potrebbe essere omessa nel certificato firmato. Per le chiavi EC, questo può risparmiare forse una dozzina di byte e PKIX (il gruppo responsabile del profilo X.509 di Internet ) proibisce esplicitamente questa "ottimizzazione". Pertanto, dichiaro con certezza che non esiste alcun collegamento tra i tipi di chiavi in un certificato CA e i certificati emessi da CA.
Il supporto EC nel software distribuito esistente basato può essere descritto come "scarso". Sebbene X9.62 specifichi come codificare i parametri per le chiavi EC in curve abbastanza arbitrarie quasi tutti implementano solo un numero limitato di "curve conosciute", principalmente dalle 15 curve di FIPS 186-3 . In realtà, tra queste 15 curve, solo due di esse (P-256 e P-384) hanno un supporto non aneddotico nei browser esistenti. Queste due curve rappresentano il "minimo indispensabile" del supporto della CE secondo la "suite B" dell'NSA (una raccomandazione dell'NSA per le persone non NSA - ciò che costituisce la "suite A" non è pubblicamente noto).
Inoltre, X9.62 definisce in modo abbastanza chiaro come una firma ECDSA debba essere calcolata per ogni combinazione di funzione hash e curva (ad esempio, come i valori hash devono essere troncati o espansi per adattarsi all'ordine del gruppo di curve). Come prevedibile, gli implementatori hanno sbagliato e molti credono che con P-256 (rispettivamente P-384) possa essere usato solo SHA-256 (rispettivamente SHA-384). Pertanto, se si utilizza qualsiasi altra funzione di hash, si eseguiranno problemi di interoperabilità (voglio dire, più problemi di quelli che si otterranno semplicemente cercando di utilizzare un algoritmo che non è nato nell'era Disco).
Il lato positivo è che il P-256 con SHA-256 è, per quanto riguarda la sicurezza, "fine" (adoro quella parola). Il lato oscuro è che anche con quella combinazione più supportata, riuscirà a entrare nei problemi con i vecchi browser (e ci sono posti che sono piuttosto conservativi per quanto riguarda gli aggiornamenti - sul mio posto di lavoro, l'unico browser consentito è IE 7!). Quindi hai bisogno di un piano di backup. Poiché il backup deve essere un PKI RSA intero (RSA ovunque dalla radice fino al server e ai certificati utente) per la compatibilità e si desidera passare a un PKI EC completo, allora sono necessarie due radici, una con RSA e uno con EC. È possibile appianare le transizioni in una certa misura con i certificati incrociati, ma è un intero barattolo di worm.