Wijzigen sleutellengte van 1024 naar 2048 bit

SSL Certificaten met een sleutellengte van 1024 bit zijn op dit moment nog veilig, maar de verwachting is dat zij ergens in het komende decennium niet meer veilig genoeg zijn.  CA's (de uitgevers van SSL Certificaten) en browsers stoppen daarom vanaf oktober 2013 met de ondersteuning van 1024 bits keys.  Alle actieve 1024 bits certificaten moeten vervangen worden door certificaten met een 2048 bits sleutel.

Dit is vorig jaar industriebreed vastgelegd in de SSL-standaard van het CA/Browser Forum , waarmee zij de aanbevelingen van de NIST  (National Institute for Standards and Technology) volgen. De 1024-bit SSL-standaard is momenteel veilig, maar de mogelijkheid bestaat dat deze standaard in de nabije toekomst gekraakt kan worden door de komst van meer rekenkracht en efficiëntere formules. Het gebruik van een langere sleutel verhoogt de moeilijkheidsgraad.

Uitgangspunten

• Vanaf juli 2012 is voor alle nieuwe certificaataanvragen een sleutellengte van 2048 bit reeds verplicht.
• Vanaf oktober 2013 zullen alle SSL certificaten en Code signing certificaten met een 1024 RSA sleutel ongeldig verklaard worden.
• Een certificaat met een sleutellengte van 1024 bit dat na 1 oktober 2013 nog geldig is heeft een upgrade nodig naar een een sleutellengte van 2048 bit.
• Vanaf 1 januari 2014 ondersteunen de browsers ook geen 1024 bit certificaten meer.

Hoe kunt u upgraden?

• 1024 bits certificaten waarvan de geldigheid vóór 1 oktober verloopt, kunt u op de reguliere wijze verlengen .
• 1024 bits certificaten die na 1 oktober nog geldig zijn kunt u vernieuwen via een gratis heruitgifte. Voor de heruitgifte gebruikt u een nieuwe CSR met een 2048 bits sleutellengte. Let op: Na een heruitgifte wordt uw oude 1024 bits certificaat niet direct ingetrokken, hierdoor heeft u tot 1 oktober de tijd om het nieuwe certificaat te installeren.

Hieronder vindt u handleidingen voor het aanmaken van een nieuwe CSR voor de meestgebruikte webservers. Raadpleeg onze knowledgebase als u een handleiding voor een andere webserver nodig hebt.

• Apache
• DirectAdmin
• IIS
• OpenSSL
• Plesk
  

Hulp nodig?

Alle klanten die certificaten moeten vervangen sturen wij een e-mail. Om de sleutellengte van uw certificaten eenvoudig te controleren kunt u de SSL Check gebruiken; hiervoor heeft u alleen de domeinnaam nodig. De sleutellengte wordt hier weergegeven onder de noemer 'algoritme'. Uiteraard kunt u altijd contact met ons opnemen.

Meer informatie

• NIST Special Publication 800-131A
• Mozilla's CA Certificate Maintenance Policy
• Microsoft's Root Certificate Program