V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
mengzhuo
V2EX  ›  SSL

哪家 CA 支持 ECDH?

  •  
  •   mengzhuo · 2014-11-16 18:34:32 +08:00 via iPhone · 3486 次点击
    这是一个创建于 3663 天前的主题,其中的信息可能已经有所发展或是发生改变。
    如题
    话说目前只见过谷歌自家用的是ECDH/ECDSA
    12 条回复    2014-11-21 10:30:29 +08:00
    msg7086
        1
    msg7086  
       2014-11-16 18:42:42 +08:00 via iPhone
    我只记得EC系,opera不支持。
    davidyin
        2
    davidyin  
       2014-11-16 18:45:56 +08:00
    ECDH是服务器设置有关
    mengzhuo
        3
    mengzhuo  
    OP
       2014-11-16 19:17:23 +08:00 via iPad
    @davidyin w我试过用rapidssl 但是提示他们不支持这种算法
    xenme
        4
    xenme  
       2014-11-16 19:25:00 +08:00
    这个应该是服务器是否支持吧?
    xenme
        5
    xenme  
       2014-11-16 19:26:12 +08:00
    [Imgur](?1)
    mengzhuo
        6
    mengzhuo  
    OP
       2014-11-16 21:03:16 +08:00
    @xenme  服务器支持
    但是CA不给你签啊……
    xenme
        7
    xenme  
       2014-11-16 21:19:40 +08:00
    @mengzhuo SSL Cipher只是用来在SSL/TLS建立连接和通信的过程中用来加密数据的吧。然后证书里面只包含公钥和一些其他信息。应该不会影响cipher的支持把。
    只要客户端和server都支持同一个cipher,那应该就可以用该方式通信了。
    Quaintjade
        8
    Quaintjade  
       2014-11-16 21:21:32 +08:00 via Android
    Comodo有ECDSA的root,暂未受信。
    VeriSign的secure site pro有ecdsa
    mengzhuo
        9
    mengzhuo  
    OP
       2014-11-16 23:10:16 +08:00
    @xenme

    我觉得还是需要ECDH CA证书

    实测了一下
    自己做了一个RSA CA证书,一个ECDH的server.key
    然后用RSA CA证书签ECDH的证书

    如果用Python 2.7.8连接
    ciphers="ECDHE-ECDSA-AES128-SHA:ECDHE:EECDH:AES128-SHA:ALL"
    可以得到
    ('ECDH-RSA-AES256-SHA', 'TLSv1/SSLv3', 256)

    如果CA是ECC的
    ('ECDH-ECDSA-AES256-SHA', 'TLSv1/SSLv3', 256)
    xenme
        10
    xenme  
       2014-11-17 00:25:04 +08:00
    @mengzhuo http://books.google.com.tw/books?id=dR2G0oPufe0C&pg=PA161&lpg=PA161&dq=SSL+ECDH&source=bl&ots=UoCjNn0hj7&sig=rxKFPybhun_eUIWHq60-_IDC1zs&hl=en&sa=X&ei=1ctoVLiJEOGzmwWxhoFo&redir_esc=y#v=onepage&q=SSL%20ECDH&f=false
    从连接来看ECDH_RSA/ECDH_ECDSA应该差不多。只是一个是RSA签的,一个是ECDSA算法签的。
    最终KEY都是ECDH,只是签名算法不一样。所以,正常的RSA CA应该也是可以签ECDH类型key的证书。
    mengzhuo
        11
    mengzhuo  
    OP
       2014-11-17 11:16:07 +08:00
    @xenme

    嗯 我看谷歌的主CA也是RSA

    自己做CA 签完全不是问题啊

    我的问题是这货在其他CA都不让用啊
    wdlth
        12
    wdlth  
       2014-11-21 10:30:29 +08:00
    这里有个网站说得比较清楚: https://sslspdy.com/
    COMODO的支持,不过旧浏览器如IE8要悲剧……
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5449 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 32ms · UTC 08:07 · PVG 16:07 · LAX 00:07 · JFK 03:07
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.