Possiamo usare server.key 1024 bit?

1
openssl genrsa -out server.key 1024
openssl req -new -key server.key -out server.csr
"CA step here", generates server.crt, at least 2048 bit RSA

Possiamo usare questi due comandi per creare un file server.pem alla fine?

O i web browser, i software generali sicuramente lo rifiuteranno, perché non ha una dimensione di 2048 bit?

O il server.key al primo passaggio non ha importanza per le dimensioni di 1024 bit?

    
posta Peter 25.07.2017 - 14:47
fonte

1 risposta

3

Certificati e autorità di certificazione con chiavi inferiori a 2048 bit non sono una buona scelta per le nuove distribuzioni. A meno che tu non abbia una necessità specifica per questo con hardware o software molto vecchi, di solito c'è un impatto minimo con una chiave da 2048 bit o superiore.

Se le prestazioni sono un problema, e in particolare sui dispositivi embedded / mobile / a bassa potenza, prendi in considerazione l'utilizzo delle chiavi Elliptic-Curve anziché di RSA. Ci sono alcune buone guide su come ottenere ciò.

Mozilla ha già iniziato a pianificare avvertono gli utenti di piccole lunghezze di chiave RSA nel 2015 e gli avvisi per le CA che utilizzano tasti di dimensioni ridotte stanno già spuntando nei browser. Avviso per i certificati stessi inizierà a comparire presto nei browser. Distribuire qualsiasi cosa di nuovo sapendo che questo sta arrivando non è consigliabile.

    
risposta data 25.07.2017 - 15:12
fonte

Leggi altre domande sui tag