ECC椭圆曲线加密法SSL数字证书
密码学是对数据和信息进行加密的科学,是SSL证书的基石。每当你访问一个有SSL证书保护的网站时,你的计算机就会与该网站的服务器合作,对通过连接发送的所有数据进行加密和解密。不用说得太详细,这个过程是通过计算一个特定的算法来实现的,该算法被用来签署该网站的证书。
最常用的签名算法是RSA(Rivest-Shamir-Adleman,以最早使用它的人命名)。绝大多数SSL证书都是由RSA算法签署的,如果没有相关的私钥,是非常难以解决的。
虽然RSA是行业标准的签名算法,但许多系统管理员正确地认为,一个加密算法永远不会太安全。任何对RSA强度不满意的SSL用户可能会对一种相对较新的加密签名算法感兴趣,这种算法被称为椭圆曲线加密法(ECC),由于其离散的数学特性,被认为比RSA更难被破解。
椭圆曲线加密法(ECC)概述
椭圆曲线加密法的签名算法是基于椭圆曲线的代数特性。由于ECC使用不同的、更复杂的算法,ECC私钥的长度通常比RSA密钥短得多,但也相当强大。一个256位的ECC密钥的强度相当于一个3072位的RSA密钥--参考,SSL证书的行业标准RSA密钥大小为2048位。这种强度上的差异并不意味着广泛使用的RSA算法是不安全的或很快就会被淘汰。ECC只是提供了比标准更高的安全水平,并且由于密钥较短,通常允许系统在安全连接上比平时更快地完成 "握手"。
然而,有几个原因说明你可能还不想转用ECC。它是一种较新的算法,这意味着它还没有像久经考验的RSA那样经过彻底的漏洞测试。还有一些浏览器、服务器和设备不支持这种算法,因此无法与使用ECC证书的网站建立安全连接。此外,较慢的处理器可能需要更长的时间来破译ECC加密的数据,因为该算法比RSA要复杂得多。
如何获得ECC证书
如果你决定ECC证书适用于你的域名,你需要先购买一个可以使用这种算法的SSL证书。你可以购买青蛙数字安全提供的DigiCert ECC的数字安全证书,具体咨询客服。当你准备生成证书时,你需要在你的系统上创建一个ECC证书签名请求。这应该是你在服务器上生成CSR过程中启用的东西。然后你所要做的就是像以往一样完成SSL过程。验证后,证书颁发机构将向你提供一个ECC签名的证书,准备好保护你的域名。