【转】如何检查SSL证书的根证书是1024位仍是2048位的

来源：https://www。wosign。com/FAQ/how_to_check_rootCA_1024bit_2048bit.htm

 

　　鉴于被普遍应用于数字证书的1024位RSA非对称密钥算法已经有可能会被攻破， 微软 根据 美国国家标准技术研究院(NIST )的要求(2010年12月31日以前中止使用1024位RSA算法)，已经通知全球全部受信任的根证书颁发机构(CA)，要求全部CA必须尽快从1024位的根证书向2048位迁移，并将于2010年12月31日把全部1024位根证书从受信任的根证书中删除。为了帮助广大用户能正确识别您公司正在使用的SSL证书的根证书是1024位仍是2048位，特编写本指南。

为了帮助你们有一个清楚的直观的理解，以 VeriSign 颁发给 支付宝 的 SSL证书为例，浏览器地址栏右边有一个安全锁标志，以下图1所示：

点击安全锁标志后点击“查看证书”，就能看到以下图2所示的证书信息：

再点击“证书路径”就能看到其根证书是： Class 3 Public Primary Certification Authority，以下图3所示：

点击划红线的根证书后，再点击“详细信息”， 以下图4所示 ： 其公钥为不安全的 RSA 1024 位，并且其签名算法是很是不安全的 md2 (MD5 都已经很是不安全了，并禁止使用了！) ：

其中级根证书为： www.verisign.com/CPS Incorp.by Ref. LIABILITY LTD ， 点击 “ 详细信息 ”， 以下图5所示 ： 其公钥为不安全的 RSA 1024 位：

可能VerSign的代理商会告诉您查看您的证书是2048位的，以下图6所示，这只能说是 VeriSign 采用了一种愚民政策，你们想想，根证书是1024位的都不安全了，最终用户是 2048 位又有何用呢？

除外，值得注意的是，若是您公司的系统已经部署了VeriSign 的 EV SSL证书 ( 让新版浏览器地址栏变成绿色的SSL证书 ) ，VeriSign会告诉您其顶级根证书、中级根证书和用户证书都是 2048 位的，是安全的！仍是在撒谎！仍然是存在 1024 位安全缺陷的！由于 VeriSign 为了解决低版本浏览器( 如 IE6) 不支持 EV 绿色地址栏和没有颁发 EV SSL 证书的根证书问题，使用了目前正在普遍使用的 1024 位根证书 (Class 3 Public Primary CA) 来交叉签名其 EV 根证书。也就是说：即便您的系统部署的是 VeriSign 2048 位 EV SSL 证书，对于 60%-70% 的低版本浏览器用户来说，仍是不安全的。以下图7所示，低版本浏览器会显示EV SSL证书的顶级根证书仍然是 1024 位根证书 (Class 3 Public Primary CA)：

请全部VeriSign/Thawte/GeoTrust用户注意：VeriSign/Thawte/GeoTrust的根证书都是使用1024位，因此您的SSL证书有安全风险，并且将于今年12月31日再也不是受IE浏览器所信任。