问我的SSL证书应该使用多长的RSA密钥长度？

EN

从2020年起，密钥应为2048位。

1024位

browsers.

• Firefox已过时且未接受1024位RSA证书在2014.

• Certificate授权机构中停止接受1024位
• 证书2014年或之前停止提供1024位RSA证书。请参阅GlobalSign或Comodo通知。
• 1024位密钥被弃用，因为它们可以在一个小型数据中心(可能在几个月内破解数千个CPU或数百个GPU )被破解。这看起来可能很多，但任何大型组织或政府都能做到这一点。

2048位

• 2048 bits证书是目前公认的use.
• Default基准规范，由CA机构发布并被software.
• Will使用，最终也会被破解。不知道什么时候，但可以采取decades.
• Doubling的大小需要许多许多数量级更多的计算能力来破解。请参阅问题how much stronger is RSA 2048 compared to 1024。

4096位

• 4096位RSA证书是
• 广泛提供和支持的下一步产品。所有主要的CA都可以提供2048位和4096位的RSA，包括let's encrypt.
• Computational开销与密钥大小不成线性关系。4096的速度不是2048的两倍，它的处理速度可能是2048的10倍。在没有考虑性能的情况下，不会盲目地将证书升级到4096位，因为它无法承担4096位的硬件成本，因此web在很大程度上仍停留在2048位证书上。考虑像谷歌、CloudFlare、NetFlix这样的大公司，它们拥有巨大的流量和硬件占用空间。

3072位

• 3072位不是什么东西。直接跳到4096位。
• 做3072位密码术是完全可能的，只是没有软件真正实现，支持和宣传它。在2010-2015年左右，有一次尝试推出3072用于使用-在这种情况下，额外的计算成本4096是不理想的。它渐渐消失了，但仍然有一些旧文章在传播(更快)3072的优点。

额外的

• RSA在1977年首次被公开描述，近50年后它仍然很强大。只需增加比特数以跟上更快的computers.
• There是另一种基于椭圆曲线的公钥加密方法，参见ECDSA (1992).
• There是用户和攻击者容量之间的巨大脱节。web服务器或移动客户端具有一个(低功率) CPU。攻击者可以拥有整个数据中心，作为参考，新建的亚马逊网络服务数据中心托管着大约6万台服务器。
• 一台移动设备可以在几秒钟内计算出一些数学，这是不可思议的……数以百万计的计算机在有生之年是做梦也猜不到的。

由于许多客户要求遵守NIST加密标准，因此我使用了NIST特殊出版物800-57，§5.6中的指导。我们的大多数应用程序都很适合112“位”的安全性，因此这相当于对称密码的三重DES(或高达128位的AES)和RSA的2048位密钥。请参见表2以了解大致的等价性。

无论是否有效，能够让他们参考NIST出版物有助于客户更好地了解安全性(如果他们不厌其烦地询问)。

证书颁发机构不会签署大小小于2048位的csr，因此您应该将csr生成为2048位。