哪家 CA 支持 ECDH?

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

› Certbot 使用文档

› Dehydrated

› Stay.live 证书有效期监控

› HTTP Strict Transport Security

› OpenSSL 官网

› Qualys SSL Test

› 证书链补全工具

› 在线 CSR 生成工具

› SSL 云监控

› What's My Chain Cert?

› Certificate Search by Comodo

这是一个创建于 3451 天前的主题，其中的信息可能已经有所发展或是发生改变。

如题
话说目前只见过谷歌自家用的是ECDH/ECDSA

ecdh

谷歌

目前

12 条回复 • 2014-11-21 10:30:29 +08:00

msg7086

2014-11-16 18:42:42 +08:00 via iPhone

我只记得EC系，opera不支持。

davidyin

2014-11-16 18:45:56 +08:00

ECDH是服务器设置有关

mengzhuo

2014-11-16 19:17:23 +08:00 via iPad

@davidyin w我试过用rapidssl 但是提示他们不支持这种算法

xenme

2014-11-16 19:25:00 +08:00

这个应该是服务器是否支持吧？

xenme

2014-11-16 19:26:12 +08:00

[Imgur](

?1)

mengzhuo

2014-11-16 21:03:16 +08:00

@xenme 服务器支持
但是CA不给你签啊……

xenme

2014-11-16 21:19:40 +08:00

@mengzhuo SSL Cipher只是用来在SSL/TLS建立连接和通信的过程中用来加密数据的吧。然后证书里面只包含公钥和一些其他信息。应该不会影响cipher的支持把。
只要客户端和server都支持同一个cipher，那应该就可以用该方式通信了。

Quaintjade

2014-11-16 21:21:32 +08:00 via Android

Comodo有ECDSA的root，暂未受信。
VeriSign的secure site pro有ecdsa

mengzhuo

2014-11-16 23:10:16 +08:00

@xenme

我觉得还是需要ECDH CA证书

实测了一下
自己做了一个RSA CA证书，一个ECDH的server.key
然后用RSA CA证书签ECDH的证书

如果用Python 2.7.8连接
ciphers="ECDHE-ECDSA-AES128-SHA:ECDHE:EECDH:AES128-SHA:ALL"
可以得到
('ECDH-RSA-AES256-SHA', 'TLSv1/SSLv3', 256)

如果CA是ECC的
('ECDH-ECDSA-AES256-SHA', 'TLSv1/SSLv3', 256)

xenme

2014-11-17 00:25:04 +08:00

@mengzhuo http://books.google.com.tw/books?id=dR2G0oPufe0C&pg=PA161&lpg=PA161&dq=SSL+ECDH&source=bl&ots=UoCjNn0hj7&sig=rxKFPybhun_eUIWHq60-_IDC1zs&hl=en&sa=X&ei=1ctoVLiJEOGzmwWxhoFo&redir_esc=y#v=onepage&q=SSL%20ECDH&f=false
从连接来看ECDH_RSA/ECDH_ECDSA应该差不多。只是一个是RSA签的，一个是ECDSA算法签的。
最终KEY都是ECDH，只是签名算法不一样。所以，正常的RSA CA应该也是可以签ECDH类型key的证书。

mengzhuo

2014-11-17 11:16:07 +08:00

@xenme

嗯我看谷歌的主CA也是RSA

自己做CA 签完全不是问题啊

我的问题是这货在其他CA都不让用啊

wdlth

2014-11-21 10:30:29 +08:00

这里有个网站说得比较清楚： https://sslspdy.com/
COMODO的支持，不过旧浏览器如IE8要悲剧……