TLS証明書を検査してRSAキーの使用制限を決定する
この答え に関して、SSL証明書のキーの使用法について質問があります。
ほとんどのSSLサーバー証明書にはRSAキーがあり、これはキー使用拡張によって制限されていないため、「RSA」と「DHE_RSA」の両方のキータイプを使用できます。
- 証明書にキーの使用制限があるかどうかを確認するにはどうすればよいですか?
- すべてのSSLキーにRSAキーがありますか?
- 注意すべき主要な使用法は1つだけですか、それとも他にありますか?
どこでもっと学ぶべきですか?
「openssl」コマンドラインツール(Windows、Linux、Mac OS Xなどで利用可能)の使い方を学ぶ必要があります。
コマンドラインで入力してください:(mycertはあなたの証明書です)
openssl x509 -text -in mycert
これにより、証明書のすべてのフィールドがデコードされ、制限が一覧表示されます。
いいえ、RSAである必要はありません。証明書を作成するときに、代わりにDiffie-Helmmanを選択できます。
証明書の用途は多種多様です。たとえば、CAから個別の証明書を購入する必要はなく、自分で作成できるように、ドメインの他の証明書に署名できる証明書が必要な場合があります。
すべての証明書がRSAを使用するわけではありませんが、ほとんどが使用します。数か月前、SSLサーバーを見つけるために多数のランダムなIPアドレスをスキャンし、10147の証明書チェーン(16027サーバーから-かなりのチェーンの再利用があります)のうち、RSA以外のものを使用したのは9つだけでした(DSAを使用した6つ)キー、GOSTキー付き3、Diffie-Hellman、ECDSAなし)。これは市場での優位性以上のものです。 RSAは、SSLサーバーの暗号アルゴリズムをほぼ独占しています。
(私はどこかにすべての統計を含むWebページを書くべきです。)
離れて Key Usage拡張機能、他のいくつかの拡張機能が関連する可能性があります。詳細は this answer を参照してください。