L'utilisation d'un certificat crypté SSL à 4096 bits présente-t-elle des inconvénients?
Je demandais récemment un certificat SSL via GoDaddy et j'ai remarqué ce message:
Dans le passé, j’ai toujours généré des demandes de RSC à 2048 bits, mais cette fois, j’ai pensé que je devrais peut-être «intensifier», et il semble que la prochaine étape consisterait en une version de 4096 bits.
Il n'y a pas beaucoup d'informations disponibles sur les certificats SSL 4096 bits - mais apparemment, beaucoup de personnes utilisaient des certificats 1024 bits jusqu'à ce qu'elles aient absolument besoin de se mettre à niveau et certains navigateurs ne prennent plus en charge les certificats 1024 bits.
Comment le navigateur prend-il en charge les certificats 4096 bits? Si GoDaddy requiert "au moins" un certificat de 2048 bits, est-ce suffisant ou dois-je essayer de faire quelque chose de plus? Si oui, quels sont les avantages et les inconvénients?
PS: les deux liens dans le message de GoDaddy sont Aide CSR et En savoir plus , ce que je n’ai trouvé pas très utile.
Pratiquement tous les * navigateurs prendront en charge les clés de 4096 bits. Le problème que vous rencontrez est que l'échange de clés est plus lent avec des clés plus grandes, ce qui augmentera la charge sur le serveur et ralentira le chargement des pages sur le client.
Les clés à 2048 bits sont généralement considérées comme sûres pour le moment. Toutefois, si vous souhaitez une étape intermédiaire, les clés de 3 072 bits se placent parfaitement au milieu.
*: La seule exception pourrait être un couple de vieux navigateurs mobiles/embarqués étranges.
Si vous envisagez d'utiliser Amazon CloudFront, ils ne prennent en charge que des clés allant jusqu'à 2048 bits à compter d'aujourd'hui.
Références:
Si vous avez un certificat SSL 4096 bits, afin de prendre en charge certains clients (en particulier/ Clients basés sur Java et certains clients plus anciens), vous souhaiterez générer une clé Diffie-Hellman 2048 bits ou 1024 bits et l'ajouter à votre certificat de serveur. Cependant, si vous supportez une clé DH de 1024 bits, vous devez également être conscient de l'attaque Logjam . Vous pouvez facilement accueillir ces clients en ajoutant une clé DH de la taille appropriée, mais réfléchissez tout d’abord soigneusement aux clients que vous souhaitez prendre en charge.
Bonjour, désolé de répondre à SOOO OLD thread, mais l’essentiel dans le mot "NON" créant le certificat 4096 est que votre certificat CA sera 2048. Il est donc inutile de créer un sous-certificat 4096. Cert cert au lieu le vôtre.