Algum certificado de curva elíptica de emissão de CAs bem conhecido?

Navegue suas respostas
16

Antecedentes

Eu vi que o Comodo tem uma raiz de curva elíptica ("COMODO ECC Certification Authority"), mas não vejo menção de certificados EC em seu site.

A Certicom possui direitos de propriedade intelectual que impedem outros emissores de oferecer certificados CE? Um navegador amplamente utilizado não suporta o ECC? O ECC é um ajuste inadequado para o uso tradicional de PKI, como a autenticação de servidor da web? Ou simplesmente não há demanda para isso?

Estou interessado em mudar para a curva elíptica por causa da recomendação do NSA Suite B. Mas não parece prático para muitas aplicações.

Critérios de recompensa

Para reivindicar a recompensa, uma resposta deve fornecer um link para uma página ou páginas em um site da CA bem conhecido que descreve as opções de certificado ECC que eles oferecem, preços e como adquirir um. Nesse contexto, "well-known" significa que o certificado raiz apropriado deve ser incluído por padrão no Firefox 3.5 e IE 8. Se várias respostas qualificadas forem fornecidas (pode-se esperar!), Aquela com o certificado mais barato de uma CA onipresente vai ganhar a recompensa. Se isso não eliminar nenhum empate (ainda esperando!), Terei que escolher uma resposta a meu critério.

Lembre-se de que alguém sempre reivindica pelo menos metade da recompensa, por isso, dê uma chance, mesmo que você não tenha todas as respostas.

    
por erickson 04.12.2009 / 23:37

5 respostas

5

Eles são emitidos agora pela Comodo como parte de sua oferta PositiveSSL. Eu não posso dizer que eles estão anunciando isso muito bem, mas a prova viva por matemática existe: 

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----
    
por 20.06.2014 / 00:54
6

Eu queria mergulhar um pouco mais nisso, então entrei em contato com o pessoal da Comodo, que é responsável pela CA do ECC. Depois de um pouco de ida e volta, eles me disseram que a Comodo foi avisada de que eles precisam de uma licença da Certicom / RIM antes de poderem emitir certificados ECC, e que estão atualmente em discussões de licenciamento com eles. Eles não deram um ETA por ter essas discussões finalizadas, então quem sabe quando você pode realmente comprar um certificado.

    
por 28.12.2009 / 20:55
6

Como uma atualização rápida, hoje a Cloudflare implantou um novo certificado para seu blog assinado pela Comodo e usando o ECC ... Eu acho que as ECC's para o público em geral estão chegando em breve.

link

E a Verisign (agora Symantec) oferece ECC em sua linha de certificados Secure Site Pro

    
por 11.03.2014 / 16:41
5

Encontrei este link na entrega que achei útil. link

Basicamente, o NSA Suite B não é confiável globalmente (no nível raiz) e nenhuma CA atualmente (até outubro de 2012) oferece certificados SSL que atendem ao padrão. Você pode assinar seu próprio certificado, mas os navegadores modernos exibirão um aviso muito desestimulante para os usuários. Geralmente, os certificados do NSA Suite B são integrados em aplicativos que se conectam diretamente a servidores seguros. Tenha em mente que há um grande suporte nos navegadores para ECC. O ECC faz parte do TLS 1.1, que é suportado apenas no Chrome v22 + por padrão [ link ]

    
por 08.10.2012 / 15:40
3

Eu não acredito que a Certicom esteja impedindo o uso da curva elíptica que o MS2008 Certificate Authority oferece a Suite B. Tenho certeza, portanto, que a versão mais recente dos clientes do Windows em 7 apóia seu uso. Vou dar uma olhada, será o subsistema criptográfico MS que precisaria suportá-lo (CryptoAPI) e isso tem uma arquitetura CSP de plug-in que permitiria suportá-lo facilmente.

O seguinte é retirado da documentação de confiança sobre o tema: -

Todos os principais produtos de software da CA oferecem suporte ao ECDSA, tanto para assinatura de certificado e CRL quanto para chaves públicas de usuário final. Portanto, para aplicativos que exigem apenas autenticação e assinaturas digitais, não deve ser difícil obter um produto CA adequado. O ritmo mais lento de padronização para o acordo de chave baseado em ECC adiciona alguma incerteza para aplicativos que também exigem criptografia. No entanto, os principais fornecedores de software da CA têm planos avançados para suportar chaves ECDH em certificados de usuário final. Portanto, o planejamento nessa área tem apenas um risco menor. A implementação, por outro lado, deve aguardar a realização desses planos no envio de produtos

O ECC requer menos poder computacional do que o RSA e, portanto, é útil para sistemas embarcados, como smartcards e para dispositivos com processadores menos potentes, como roteadores sem fio. Pode ser útil para servidores da Web, pois exigiria menos processamento pelo servidor da Web para suportar operações de troca de chaves TLS com benefícios óbvios para suportar altas quantidades de tráfego seguro. Acho que esses fatores vão impulsionar a demanda e também haverá alta demanda do setor governamental, em todo o mundo, que presta muita atenção ao NIST. Isso também ajudará a impulsionar a tecnologia à medida que os fornecedores procuram vender para esse setor.

Mark Sutton link

    
por 05.12.2009 / 11:00

Tags

gpg: o que eu preciso fazer backup? Por que não posso usar ssh em minha nova instância do EC2?