Inspeccionar un certificado TLS para determinar las restricciones de uso de la clave RSA

Debes aprender a usar la herramienta de línea de comandos "openssl" (disponible para Windows, Linux, Mac OS X, etc.).

Escriba en la línea de comando: (donde mycert es su certificado)

openssl x509 -text -in mycert

Esto decodifica todos los campos en el certificado y enumerará cualquier restricción.

No, no tiene que ser RSA. Puede seleccionar Diffie-Helmman cuando cree su certificado.

Hay una gran variedad de usos de certificados. Por ejemplo, es posible que desee un certificado que pueda firmar otros certificados para el dominio, por lo que no necesita comprar certificados individuales de una CA, sino que puede crearlos usted mismo.

No todos los certificados utilizan RSA, pero la mayoría lo hace. Hace unos meses, exploré muchas direcciones IP aleatorias para encontrar servidores SSL, y de 10147 cadenas de certificados (de 16027 servidores - hay una considerable reutilización de la cadena), solo 9 de ellos utilizaron otra cosa que RSA (6 con DSA teclas, 3 con teclas GOST; sin Diffie-Hellman, sin ECDSA). Esto es más que el dominio del mercado; RSA tiene casi el monopolio de los algoritmos criptográficos para servidores SSL.

^{(Debería escribir una página web en algún lugar con todas las estadísticas).}

Aparte de la extensión Key Usage , algunas otras extensiones pueden ser relevantes; Consulte esta respuesta para más detalles.