有名なCAは楕円曲線証明書を発行しますか?
バックグラウンド
Comodoが楕円曲線のルート( "COMODO ECC Certification Authority")を持っているのを見てきましたが、彼らのWebサイトでEC証明書について言及していません。
Certicomには、他の発行者がEC証明書を提供できないようにする知的財産権がありますか?広く使用されているブラウザはECCをサポートしていませんか? ECCは、Webサーバー認証のような従来のPKIの使用には適していませんか?それとも需要がまったくないのでしょうか?
NSA Suite Bの推奨事項があるため、楕円曲線に切り替えることに関心があります。しかし、多くのアプリケーションでは実用的ではないようです。
バウンティ基準
賞金を請求するには、よく知られているCAのWebサイトにあるページへのリンクを提供する必要があります。リンクには、提供するECC証明書のオプション、価格、および購入方法が記載されています。この文脈では、「よく知られている」とは、適切なルート証明書がデフォルトでFirefox 3.5およびIE 8.に含まれている必要があることを意味します。ユビキタスCAからの証明書が最も安い証明書が賞金を獲得します。それでも関係が解消されない場合(まだ希望している!)、私は自由裁量で回答を選択する必要があります。
誰かが常に賞金の少なくとも半分を請求しているので、すべての答えがなくても試してください。
それらは現在、PositiveSSLオファリングの一部としてComodoによって発行されています。彼らが宣伝しすぎているとは言えませんが、数学による生きた証拠は存在します:
-----BEGIN CERTIFICATE-----
MIID0DCCA3WgAwIBAgIQTOFIoMgcOpPD5P72Ag+HhTAKBggqhkjOPQQDAjCBkDEL
MAkGA1UEBhMCR0IxGzAZBgNVBAgTEkdyZWF0ZXIgTWFuY2hlc3RlcjEQMA4GA1UE
BxMHU2FsZm9yZDEaMBgGA1UEChMRQ09NT0RPIENBIExpbWl0ZWQxNjA0BgNVBAMT
LUNPTU9ETyBFQ0MgRG9tYWluIFZhbGlkYXRpb24gU2VjdXJlIFNlcnZlciBDQTAe
Fw0xNDA2MTMwMDAwMDBaFw0xNTA2MTMyMzU5NTlaMFYxITAfBgNVBAsTGERvbWFp
biBDb250cm9sIFZhbGlkYXRlZDEUMBIGA1UECxMLUG9zaXRpdmVTU0wxGzAZBgNV
BAMTEnN3ZWV0dGhpbmdiaGFtLmNvbTBZMBMGByqGSM49AgEGCCqGSM49AwEHA0IA
BBkPJg217SKOh9qK1s4TVKI+fjT+6GQZH+HxS1cmr58G2HRFIkh/pkPjlgOdYPEr
KFwpA3d55XQB9IGXQuBdhU2jggHoMIIB5DAfBgNVHSMEGDAWgBS7+gjgv1TuWv0W
pDUCCamkyOz9SzAdBgNVHQ4EFgQUs78vzYsx4z/l3ScGLz7cZPJrV5kwDgYDVR0P
AQH/BAQDAgWAMAwGA1UdEwEB/wQCMAAwHQYDVR0lBBYwFAYIKwYBBQUHAwEGCCsG
AQUFBwMCMFAGA1UdIARJMEcwOwYMKwYBBAGyMQECAQMEMCswKQYIKwYBBQUHAgEW
HWh0dHBzOi8vc2VjdXJlLmNvbW9kby5uZXQvQ1BTMAgGBmeBDAECATBUBgNVHR8E
TTBLMEmgR6BFhkNodHRwOi8vY3JsLmNvbW9kb2NhLmNvbS9DT01PRE9FQ0NEb21h
aW5WYWxpZGF0aW9uU2VjdXJlU2VydmVyQ0EuY3JsMIGFBggrBgEFBQcBAQR5MHcw
TwYIKwYBBQUHMAKGQ2h0dHA6Ly9jcnQuY29tb2RvY2EuY29tL0NPTU9ET0VDQ0Rv
bWFpblZhbGlkYXRpb25TZWN1cmVTZXJ2ZXJDQS5jcnQwJAYIKwYBBQUHMAGGGGh0
dHA6Ly9vY3NwLmNvbW9kb2NhLmNvbTA1BgNVHREELjAsghJzd2VldHRoaW5nYmhh
bS5jb22CFnd3dy5zd2VldHRoaW5nYmhhbS5jb20wCgYIKoZIzj0EAwIDSQAwRgIh
AJiXW3RVr/VrvRa3LwRjLYTKKTdFOMXsc/4ySeci/9tgAiEA7IDbRVOLxQ8cPEGs
rsp6KCSt/Dzu+H6n7DsgC2xxkHw=
-----END CERTIFICATE-----
迅速な更新として、本日、CloudflareはComodoが署名し、ECCを使用してブログに新しい証明書を展開しました...一般市民向けのECCが間もなく登場すると思います。
また、Verisign(現在のSymantec)は、Secure Site Proの証明書ラインでECCを提供
私はこれについてもう少し詳しく調べたかったので、ECC CAを担当するComodoの担当者に連絡しました。少し前後して、彼らは私に、ComodoがECC証明書を発行する前にCerticom/RIMからのライセンスが必要であり、彼らは現在それらとライセンスの議論をしていると助言されたと私に言った。彼らはそれらの議論を完成させるためのETAを与えなかったので、誰があなたが実際に証明書を購入できるかを知っています。
このリンクは、私が役に立ったと委託して見つけました。 http://www.entrust.net/ecc-certs/index.htm
基本的に、NSA Suite Bはグローバルに(ルートレベルで)信頼されておらず、現在(2012年10月現在)CAは標準を満たすSSL証明書を提供していません。独自の証明書に署名できますが、最新のブラウザーは、ユーザーに非常に心を痛める警告を表示します。通常、NSA Suite B証明書は、安全なサーバーに直接接続するアプリケーションに統合されます。ECCのブラウザーでのサポートが不十分であることを覚えておいてください。 ECCはTLS 1.1の一部であり、Chrome v22 +はデフォルトでのみサポートされています[ http://en.wikipedia.org/wiki/Transport_Layer_Security#Browser_implementations ]
CerticomがMS2008 Certificate AuthorityがSuite Bを提供する楕円曲線の使用を妨げているとは思いません。したがって、7の最新バージョンのWindowsクライアントがその使用をサポートしていると確信しています。見ていきましょう。サポートする必要があるのはMS暗号サブシステム(CryptoAPI)であり、これにはプラグインCSPアーキテクチャがあり、非常に簡単にサポートできます。
以下は、このトピックに関する委託ドキュメントからの抜粋です。
すべての主要なCAソフトウェア製品は、証明書とCRL署名、およびエンドユーザーの公開鍵の両方でECDSAをサポートしています。したがって、認証とデジタル署名のみを必要とするアプリケーションの場合、適切なCA製品を調達することは難しくありません。 ECCベースの鍵合意の標準化のペースが遅いため、暗号化も必要とするアプリケーションに不確実性が追加されます。ただし、主要なCAソフトウェアサプライヤーはすべて、エンドユーザー証明書でECDHキーをサポートするための高度な計画を持っています。したがって、この領域での計画には、わずかなリスクしかありません。一方、実装では、製品の出荷におけるこれらの計画の実現を待つ必要があります
ECCはRSAよりも必要な計算能力が少ないため、スマートカードなどの組み込みシステムや、ワイヤレスルーターなどの強力でないプロセッサを搭載したデバイスに役立ちます。これは、TLSキー交換操作をサポートするためにWebサーバーによる処理が少なくてすむため、大量の安全なトラフィックをサポートするための明らかな利点があるため、Webサーバーにとって役立ちます。これらの要素が需要を後押しし、NISTに細心の注意を払う世界中の政府部門からの需要も高まると思います。これは、ベンダーがこのセクターに売り込もうとするときに、テクノロジーをプッシュするのにも役立ちます。