Я видел, что у Comodo есть корень эллиптической кривой («Центр сертификации COMODO ECC»), но я не вижу упоминания о сертификатах EC на их веб-сайте.
Есть ли у Certicom права интеллектуальной собственности, которые не позволяют другим эмитентам предлагать сертификаты ЕС? Широко используемый браузер не поддерживает ECC? Не подходит ли ECC для традиционного использования PKI, такого как аутентификация веб-сервера? Или на него просто нет спроса?
Я заинтересован в переходе на эллиптическую кривую из-за рекомендации NSA Suite B. Но для многих приложений это кажется непрактичным.
Чтобы запросить вознаграждение, в ответе должна быть ссылка на страницу или страницы известного веб-сайта CA, в которых описаны предлагаемые ими варианты сертификатов ECC, цены и способы их приобретения. В этом контексте «хорошо известный» означает, что соответствующий корневой сертификат должен быть включен по умолчанию в Firefox 3.5 и IE 8. Если предоставлено несколько подходящих ответов (можно надеяться!), То сертификат с самым дешевым сертификатом от повсеместного ЦС выиграет награду. Если это не устранит никаких связей (все еще надеюсь!), Мне придется выбирать ответ по своему усмотрению.
Помните, что кто-то всегда требует не менее половины награды, поэтому, пожалуйста, попробуйте, даже если у вас нет ответов на все вопросы.
В качестве быстрого обновления сегодня Cloudflare развернул новый сертификат для своего блога, подписанный Comodo и использующий ECC ... Я думаю, что скоро появятся ECC для широкой публики.
И Verisign (теперь Symantec) предлагает ECC в своей линейке сертификатов Secure Site Pro.
Я хотел углубиться в это, поэтому связался с людьми в Comodo, которые отвечают за их ECC CA. После небольшого разговора они сказали мне, что Comodo посоветовали им получить лицензию от Certicom / RIM, прежде чем они смогут выдавать сертификаты ECC, и что в настоящее время они обсуждают с ними лицензионные соглашения. Они не дали ETA для завершения этих обсуждений, так что кто знает, когда вы действительно можете купить сертификат.
Нашел эту ссылку на entrust, которую я нашел полезной. http://www.entrust.net/ecc-certs/index.htm
По сути, NSA Suite B не пользуется глобальным доверием (на корневом уровне), и ни один центр сертификации в настоящее время (по состоянию на октябрь 2012 г.) не предлагает сертификаты SSL, соответствующие стандарту. Вы можете подписать свой собственный сертификат, но современные браузеры будут отображать очень обескураживающее предупреждение для пользователей. Обычно сертификаты NSA Suite B интегрируются в приложения, которые напрямую подключаются к защищенным серверам. Имейте в виду, что в браузерах отсутствует поддержка ECC. ECC является частью TLS 1.1, который по умолчанию поддерживается только в Chrome v22 + [ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]
Сейчас они выпускаются Comodo в рамках своего предложения PositiveSSL. Не могу сказать, что они рекламируют это слишком хорошо, но живое математическое доказательство существует:
-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
Я не верю, что Certicom препятствует использованию эллиптической кривой, которую центр сертификации MS2008 предлагает Suite B. Я уверен, поэтому последняя версия клиентов Windows в 7 поддерживает ее использование. Я собираюсь пойти и взглянуть, это будет криптографическая подсистема MS, которая должна будет поддерживать ее (CryptoAPI), и у нее есть архитектура CSP плагина, которая позволила бы ей поддерживать ее довольно легко.
Следующее взято из доверительной документации по теме: -
Все основные программные продукты CA поддерживают ECDSA как для подписи сертификатов и CRL, так и для открытых ключей конечных пользователей. Таким образом, для приложений, требующих только аутентификации и цифровых подписей, не составит труда найти подходящий продукт CA. Более медленные темпы стандартизации согласования ключей на основе ECC добавляют некоторую неопределенность для приложений, которые также требуют шифрования. Однако все основные поставщики программного обеспечения CA имеют продвинутые планы по поддержке ключей ECDH в сертификатах конечных пользователей. Таким образом, планирование в этой области сопряжено с незначительным риском. Реализация, с другой стороны, должна дождаться реализации этих планов в отгрузке продуктов.
ECC требует меньшей вычислительной мощности, чем RSA, и поэтому полезен для встроенных систем, таких как смарт-карты, и для устройств с менее мощными процессорами, таких как беспроводные маршрутизаторы. Это может быть полезно для веб-серверов, поскольку для поддержки операций обмена ключами TLS потребовалось бы меньше обработки на веб-сервере с очевидными преимуществами для поддержки больших объемов защищенного трафика. Я думаю, что эти факторы будут стимулировать спрос, а также будет высокий спрос со стороны государственного сектора во всем мире, который уделяет пристальное внимание NIST. Это также поможет продвинуть технологию, поскольку вендоры стремятся продавать продукцию в этом секторе.
Марк Саттон
http://www.blacktipconsulting.com