我应该为SSL证书使用什么RSA密钥长度?

到2020年,RSA密钥应为2048位。

1024位

• Firefox 2014年停止接受1024位RSA证书。
• 证书颁发机构在2014年或之前停止提供1024位RSA证书。看见 GlobalSign 或 Comodo 注意

2048位

• 由CA提供并由软件使用的默认基线。
• 最终也会被破解。不知道什么时候,但可能需要几十年。
• how much stronger is RSA 2048 compared to 1024 .

4096位

• let's encrypt .
• 计算成本与密钥大小不是线性关系。4096的速度不比2048慢一倍,处理速度可能慢10倍。 .
• “web”主要依靠2048位证书,因为它无法承担4096位的硬件成本。考虑像谷歌、CyrdFLARE、Netflix这样的大型演员,拥有巨大的流量和硬件足迹。

3072位

• 从历史上看,大约在2010-2015年间,曾有人试图在4096的额外计算成本不理想的情况下推出3072。它逐渐消失,但仍有一些旧文章传播(更快)3072的优点。

额外的

• 用户和攻击者的能力之间存在巨大的差异。web服务器或移动客户端有一个(低功耗)CPU。攻击者可以拥有整个数据中心,作为参考,新建的AWS数据中心承载着大约60000台服务器。
• 令人难以置信的是,一台移动设备能在几秒钟内计算出一些数学。。。数百万台计算机在一生中做梦也猜不到。

Recommendation for Key Management Part 1, §5.6. 我们的大多数应用程序都非常适合112位的安全性,因此对称密码对应于三重DES(或高达128位AES的小凸起),RSA对应于2048位密钥。关于大致等效性,请参见表2。

无论有效与否,能够将他们参考NIST出版物有助于客户更好地感受安全性(如果他们费心问的话)。

对于网站上使用的SSL证书,Thawte.com网站(截至2014年7月22日)上的此文本值得注意:

政府制定的行业标准 Certification Authority/Browser (CA/B) Forum 要求2014年1月1日之后颁发的证书必须至少为2048位密钥长度。

.

将位长度增加到4096会增加 potentially meaningful load to your server (取决于您现有的负载)同时提供 insignificant security upgrade

检查 This link

SHA-1签名的结束并不是什么新鲜事,但谷歌已经加快了chrome的进程。在接下来的几周内,您应该检查他们的SSL证书。

This may be helpful

ENISA建议使用15360位。查看PDF(第35页)

http://www.enisa.europa.eu/activities/identity-and-trust/library/deliverables/algorithms-key-sizes-and-parameters-report/at_download/fullReport