Vlákno názorů k článku Let's Encrypt má šest nových certifikátů, přibude plná podpora ECDSA od J ouda - Když už na to přišla řeč, chápu že...
-
J ouda (neregistrovaný)
Když už na to přišla řeč, chápu že 2048b RSA klíče jsou na dobu pěti let.
Co mě však zaráží je dvacetiletá (!} platnost ECDSA, navíc založeného na NIST-P384.
Odhlédněmež od jistých kontroverzí kolem parametrů křivky, tak pokud je mi známo, ani klasické EC algoritmy nejsou odolné proti hypotetickému kvantovému počítači. https://crypto.stackexchange.com/questions/59770/how-effective-is-quantum-computing-against-elliptic-curve-cryptography - těch 20 let je docela úlet. (jistě že to jde revokovat dřív, ale to jde i to RSA.) -
Ondřej CaletkaZlatý podporovatelJe to kořenový certifikát, u těch je platnost 20 let běžná věc. Na rozdíl od RSA si nemůžete u EC algoritmů zvolit délku klíče aniž by doslo ke změně křivky, což může vyvolat problémy s kompatibilitou, takže použít stejný algoritmus jako podřízené certifikáty je jediné použitelné řešení.
Nicméně u kořenových certifikátů je konec platnosti v nich uvedený spíše jen horním odhadem jejich životnosti. To jestli vůbec a jak dlouho bude důvěryhodný je dané přítomností v příslušných trust storech a zcela běžně se děje, že je kořenový certifikát odstraněn dávno před koncem platnosti.
