Stellen bekannte Zertifizierungsstellen Elliptic Curve-Zertifikate aus (jetzt, da alle anderen hackbar sind)?

Stellen bekannte Zertifizierungsstellen Elliptic Curve-Zertifikate aus (jetzt, da alle anderen hackbar sind)?

Ich weiß, es warhier schon mal gefragt, aber das war im Jahr 2009.

Da es nun von vielen Browsern unterstützt wird (erfordert TLS 1.1, nur in Chrome 22+ verfügbar),FF 23veröffentlicht am 8. August 2013, IE9+),
UND kann verwendet werden mitNginx mit OpenSSL 1.0.1e(Veröffentlicht am 13. Februar 2013)
UND dass alle TLS außer ECC jetztzerbrechlich in weniger als 30 Sekunden
Es gibt ein besseres Argument dafür .

Ich kann jedoch nicht herausfinden, ob eine der großen Zertifizierungsstellen ECC ausgibt.

Antwort1

UND dass alle TLS außer ECC jetzt in weniger als 30 Sekunden geknackt werden können

Stimmt überhaupt nicht – die Prämisse von BREACH (und auch von CRIME) besteht darin, dass Inhalte mittels HTTP-Komprimierung bereitgestellt werden.

Folgen Sie dieser einfachen Schritt-für-Schritt-Anleitung:

  • SCHRITT 1: Deaktivieren der HTTP-Komprimierung an HTTPS-Endpunkten

Herzlichen Glückwunsch! Sie haben die Sicherheitslücke in 30 Sekunden geschlossen.

verwandte Informationen