Kompatibilität von 8192-Bit-Zertifikaten

Tagged as DE, net, tls

Written on

Aufgrund der Tatsache, dass die Hardware mit denen Public-Key-Schlüssel angegriffen werden kann immer leistungsfähiger wird, ist es notwendig, dass auch die Größe der eingesetzten Schlüssel immer weiter vergrößert wird.

Für den Einsatz mit qualifizierten digitalen Signaturen in Deutschland veröffentlicht beispielsweise die Bundesnetzagentur jährlich den sogenannten Algorithmenkatalog. In ihm steht jeweils welche Mindestschlüssellänge bis zu welchem Zeitpunkt als ausreichend angesehen werden kann.

Aktuell wird für den Einsatz von RSA-Schlüsseln bis Ende 2018 beispielsweise empfohlen, dass diese mindestens 2048 Bit lang sein sollten.

Dies betrifft aber natürlich nicht nur qualifizierte Signaturen sondern beispielsweise auch die verschlüsselte Übertragung von Webseiten mit dem HTTPS-Protokoll. Auch hierfür werden meistens RSA-Schlüssel eingesetzt. Üblicherweise trifft man auf Webservern dabei meistens Schlüssel der empfohlenen Länge an. (Ergebnis einer nicht repräsentativen Überprüfung einiger Websites durch mich.)

Natürlich kann man aber auch längere Schlüssel erzeugen und genau das habe ich gemacht bevor ich mir mein letztes Zertifikat habe ausstellen lassen. Der zugehörige RSA-Schlüssel ist 8192 Bit lang. Sicher eine an sich zur Zeit noch übertriebene Schlüssellänge, aber ein interessanter Key um damit zu testen ob alle Browser mit Keys dieser länge umgehen können.

ChromeFirefoxInternet Explorer 9Opera 12Safari 6
Linux (Debian wheezy)OKOK-OK-
Mac OS X (10.8)Meldung „Ungültiges Serverzertifikat“. Fehler kann nicht ignoriert werden.OK-OKLaden der Seite hängt, keine Fehlermeldung
Windows 7OKOKOKOK- (Safari 5: OK)

Wer sicherstellen möchte, dass seine Seite problemlos von allen Nutzern angeschaut werden kann, sollte zur Zeit also noch keine 8192-Bit-Schlüssel einsetzen, da er ansonsten einen Großteil von Mac-OS-X-Nutzern ausschließt.


Fehlermeldung von Chrome unter Mac OS X 10.8.1

TODO: Es interessiert mich noch, wie es mit älteren Versionen von Windows aussieht. Ich habe es noch nicht getestet, aber es könnte sein, dass es unter Windows XP anders aussieht als unter Windows 7.


Unless otherwise credited all material Creative Commons License by Matthias Wimmer