这是一个创建于 3673 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一个问题是CA能不能签名成功,尤其是对 Wildcard SSL。
第二个问题是浏览器能不能支持啊?
第二个问题是浏览器能不能支持啊?
 |
1
Quaintjade 2014-10-17 23:52:19 +08:00  1
1. 目前传统CA还不支持,不过已经有ECDSA算法的CA证书了,比如Verisign的Secure Site Pro,还有Comodo(似乎尚未正式推出)。
Demo: https://sweetthingbham.com/ 2. 新版本浏览器都是支持的,只不过根证书有待更新。老的版本可能不支持。 上次看serverfault说,按照https的标准,一个站只能用一张证书;但后来又出了个扩展标准,浏览器可以告诉服务器自己是否支持ECDSA证书,然后服务器再选择发给浏览器哪张证书。但这个扩展标准好像目前浏览器支持还不够广泛。 |
 |
2
dndx 2014-10-18 11:08:52 +08:00 1
以前问过这个问题,没人回答: /t/110208
ECC 的浏览器支持还是很靠谱的,基本上除了 XP 都没啥问题。 如果你去看 google.com 的证书,在浏览器支持 ECC 时会使用 ECDHE_ECDSA ,否则 RSA。这个目前还是黑科技,貌似 nginx,Apache 都没有选项可以同时设置这两种证书。 |
 |
3
jinyue524 OP |
|
4
dndx 2014-10-18 11:37:34 +08:00
@Quaintjade ECC 证书并不需要用 ECC 证书来签,根证书是 RSA 也没有任何问题。
|
|
5
jinyue524 OP @dndx 也就是说,用openssl 的时候,先生成 ecc 的公钥对,然后生成 csr,等着 CA 签名就行了?
|
|
6
dndx 2014-10-18 14:11:15 +08:00
@jinyue524 CA 支持的话就没问题,去年去 Comodo 签的时候死活说公钥长度太短(EC 256bit),目测是不支持。
|
|
7
Quaintjade 2014-10-18 22:18:24 +08:00
@dndx 原来如此。
那看来不是技术本身限制RSA不能签ECC,只是CA不愿这么签。 |
 |
8
msg7086 2014-10-19 11:53:41 +08:00
ECC,Opera 12似乎是不支持的……之前看到一个cloudflare节点用了ECC结果就是连不上。过两天分到RSA证书节点了又能连了
|
Select Language