Inspeccionar un certificado TLS para determinar las restricciones de uso de la clave RSA

3

Con respecto a esta respuesta , tengo una pregunta sobre el uso de claves en un certificado SSL.

  

La mayoría de los certificados de servidor SSL tienen una clave RSA que no está restringida   a través de una extensión de uso de clave, para que pueda usar tanto "RSA" como "DHE_RSA"   tipos de clave.

  • ¿Cómo puedo determinar si mi certificado tiene una restricción de uso de clave?
  • ¿Todas las claves SSL tienen una clave RSA?
  • ¿Hay un solo uso clave a tener en cuenta o existen otros?

¿Dónde debería aprender más?

    
pregunta random65537 27.09.2011 - 21:03
fuente

2 respuestas

2

Debes aprender a usar la herramienta de línea de comandos "openssl" (disponible para Windows, Linux, Mac OS X, etc.).

Escriba en la línea de comando: (donde mycert es su certificado)

openssl x509 -text -in mycert

Esto decodifica todos los campos en el certificado y enumerará cualquier restricción.

No, no tiene que ser RSA. Puede seleccionar Diffie-Helmman cuando cree su certificado.

Hay una gran variedad de usos de certificados. Por ejemplo, es posible que desee un certificado que pueda firmar otros certificados para el dominio, por lo que no necesita comprar certificados individuales de una CA, sino que puede crearlos usted mismo.

    
respondido por el Robert David Graham 27.09.2011 - 21:46
fuente
3

No todos los certificados utilizan RSA, pero la mayoría lo hace. Hace unos meses, exploré muchas direcciones IP aleatorias para encontrar servidores SSL, y de 10147 cadenas de certificados (de 16027 servidores - hay una considerable reutilización de la cadena), solo 9 de ellos utilizaron otra cosa que RSA (6 con DSA teclas, 3 con teclas GOST; sin Diffie-Hellman, sin ECDSA). Esto es más que el dominio del mercado; RSA tiene casi el monopolio de los algoritmos criptográficos para servidores SSL.

(Debería escribir una página web en algún lugar con todas las estadísticas).

Aparte de la extensión Key Usage , algunas otras extensiones pueden ser relevantes; Consulte esta respuesta para más detalles.

    
respondido por el Thomas Pornin 12.08.2013 - 20:56
fuente

Lea otras preguntas en las etiquetas