2048-Bit Schlüssellänge vorgeschrieben für End-Entity Zertifikate

TC TrustCenter empfiehlt bereits heute die Verwendung einer Schlüssellänge von 2.048 Bits und einige der angebotenen Zertifikate erfordern schon jetzt eine Mindestschlüssellänge von 2048 Bit.

Ab dem 15. Dezember 2010 wird TC TrustCenter die ausschließliche Verwendung von 2.048 Bit Schlüsseln für ALLE NEU ausgestellten Zertifikate unter den öffentlichen TC Roots umsetzen.

Was bedeutet dieses für Sie als TC Trust SSL, ID Store, EID oder EID QuickStart Kunden?

Zugelassene Schlüssellängen und Algorithmen

Als geprüfte Certification Authority (CA) und Zertifizierungsdiensteanbieter ist TC TrustCenter verpflichtet, entsprechende international anerkannte Industriestandards zu befolgen. Solche Standards definieren typischerweise die Anforderungen die eine CA erfüllen muss, damit die ausgestellten Zertifikate als ausreichend sicher gelten. Einer der wesentlichen Anforderungen ist hierbei die Länge der verwendeten Schlüssel. Aufgrund der kontinuierlichen Fortschritte in den Bereichen Mathematik, Kryptologie sowie der verfügbaren Rechenleistungen, werden bestimmte Schlüssellängen für die Zukunft als nicht ausreichend sicher eingestuft.

Aus diesem Grunde definieren die Standards eine Mindestanforderung an die verwendeten Algorithmen und Schlüssellängen. Die CAs sind gehalten, diese Anforderungen umzusetzen und einzuhalten:

Das National Institute of Standards and Technology (NIST) empfiehlt generell bis Ende 2010 die Schlüssellänge auf 2048 Bit zu erhöhen.
Das MicroSoft Windows® Root Certificate Program verbietet den registrierten CAs vollständig die Ausstellung von Zertifikaten mit einer Schlüssellänge kleiner/gleich 1024 Bit unter einer öffentlichen Root nach dem 31.12.2010.
Das Mozilla Root Certificate Program erlaubt die Ausstellung von 1024 Bit RSA Zertifikaten nur noch bis Ende 2010.

Den oben angeführten Standards und Anforderungen entsprechend wird TC TrustCenter ab dem 15. Dezember 2010 die ausschließliche Verwendung von 2048 Bit Schlüsseln für ALLE NEU ausgestellten Zertifikate unter den öffentlichen TC Roots umsetzen.

Die öffentlichen TC TrustCenter Rootzertifikate selber verwenden bereits 2048 Bit RSA Schlüssel.

Was bedeutet dieses für Sie als TC Trust SSL, TC ID Store, TC Enterprise ID oder TC EID QuickStart Kunden?

Stichtag: 15. Dezember 2010

Stellen Sie bitte sicher, dass Ihre IT Infrastruktur und Anwendungen 2048 Bit Schlüssellängen zulassen bzw. verarbeiten können. Achten Sie bei Nutzung von Chipkarten darauf, in wie weit die Karten 2048 Bit unterstützen.
Beachten Sie, dass alle Zertifikate mit einer Schlüssellänge von 2048 Bit beantragt werden müssen. Stellen Sie bitte sicher, dass die CSRs (Certificate Signing Requests) mit 2048 Bit Schlüssle erzeugt werden. Wenn Sie zum Erzeugen der Zertifikatsanträge Skripte nutzen, aktualisieren Sie diese bitte entsprechend.
In einigen Fällen, z.B. für Domain Controller IDs, müssen Sie gegebenenfalls die Konfigurationsdateien anpassen.
Alle Schlüssel, die bei einer Zertifikatsbeantragung mittels Browser erzeugt werden, erhalten eine Schlüssellänge von 2048 Bit, da keine kürzeren Schlüssellängen mehr zugelassen werden. Sollte Ihr Browser keine 2048 Bit unterstützen, so aktualisieren Sie Ihre Browserversion (MS IE 5+, Firefox 2+, Opera 9+).

zum Anfang