【轉】如何檢查SSL證書的根證書是1024位仍是2048位的

來源：https://www。wosign。com/FAQ/how_to_check_rootCA_1024bit_2048bit.htm

 

　　鑑於被普遍應用於數字證書的1024位RSA非對稱密鑰算法已經有可能會被攻破， 微軟 根據 美國國家標準技術研究院(NIST )的要求(2010年12月31日以前中止使用1024位RSA算法)，已經通知全球全部受信任的根證書頒發機構(CA)，要求全部CA必須儘快從1024位的根證書向2048位遷移，並將於2010年12月31日把全部1024位根證書從受信任的根證書中刪除。爲了幫助廣大用戶能正確識別您公司正在使用的SSL證書的根證書是1024位仍是2048位，特編寫本指南。

爲了幫助你們有一個清楚的直觀的理解，以 VeriSign 頒發給 支付寶 的 SSL證書爲例，瀏覽器地址欄右邊有一個安全鎖標誌，以下圖1所示：

點擊安全鎖標誌後點擊「查看證書」，就能看到以下圖2所示的證書信息：

再點擊「證書路徑」就能看到其根證書是： Class 3 Public Primary Certification Authority，以下圖3所示：

點擊劃紅線的根證書後，再點擊「詳細信息」， 以下圖4所示 ： 其公鑰爲不安全的 RSA 1024 位，並且其簽名算法是很是不安全的 md2 (MD5 都已經很是不安全了，並禁止使用了！) ：

其中級根證書爲： www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD ， 點擊 「 詳細信息 」， 以下圖5所示 ： 其公鑰爲不安全的 RSA 1024 位：

可能VerSign的代理商會告訴您查看您的證書是2048位的，以下圖6所示，這隻能說是 VeriSign 採用了一種愚民政策，你們想想，根證書是1024位的都不安全了，最終用戶是 2048 位又有何用呢？

除外，值得注意的是，若是您公司的系統已經部署了VeriSign 的 EV SSL證書 ( 讓新版瀏覽器地址欄變成綠色的SSL證書 ) ，VeriSign會告訴您其頂級根證書、中級根證書和用戶證書都是 2048 位的，是安全的！仍是在撒謊！仍然是存在 1024 位安全缺陷的！由於 VeriSign 爲了解決低版本瀏覽器( 如 IE6) 不支持 EV 綠色地址欄和沒有頒發 EV SSL 證書的根證書問題，使用了目前正在普遍使用的 1024 位根證書 (Class 3 Public Primary CA) 來交叉簽名其 EV 根證書。也就是說：即便您的系統部署的是 VeriSign 2048 位 EV SSL 證書，對於 60%-70% 的低版本瀏覽器用戶來說，仍是不安全的。以下圖7所示，低版本瀏覽器會顯示EV SSL證書的頂級根證書仍然是 1024 位根證書 (Class 3 Public Primary CA)：

請全部VeriSign/Thawte/GeoTrust用戶注意：VeriSign/Thawte/GeoTrust的根證書都是使用1024位，因此您的SSL證書有安全風險，並且將於今年12月31日再也不是受IE瀏覽器所信任。