这是一个创建于 4012 天前的主题,其中的信息可能已经有所发展或是发生改变。
第一个问题是CA能不能签名成功,尤其是对 Wildcard SSL。
第二个问题是浏览器能不能支持啊?
第二个问题是浏览器能不能支持啊?
 | 1 Quaintjade 2014-10-17 23:52:19 +08:00  1 1. 目前传统CA还不支持,不过已经有ECDSA算法的CA证书了,比如Verisign的Secure Site Pro,还有Comodo(似乎尚未正式推出)。 Demo: https://sweetthingbham.com/ 2. 新版本浏览器都是支持的,只不过根证书有待更新。老的版本可能不支持。 上次看serverfault说,按照https的标准,一个站只能用一张证书;但后来又出了个扩展标准,浏览器可以告诉服务器自己是否支持ECDSA证书,然后服务器再选择发给浏览器哪张证书。但这个扩展标准好像目前浏览器支持还不够广泛。 |
 | 2 dndx 2014-10-18 11:08:52 +08:00 1 以前问过这个问题,没人回答: /t/110208 ECC 的浏览器支持还是很靠谱的,基本上除了 XP 都没啥问题。 如果你去看 google.com 的证书,在浏览器支持 ECC 时会使用 ECDHE_ECDSA ,否则 RSA。这个目前还是黑科技,貌似 nginx,Apache 都没有选项可以同时设置这两种证书。 |
 | 3 jinyue524 OP |
| 4 dndx 2014-10-18 11:37:34 +08:00 @Quaintjade ECC 证书并不需要用 ECC 证书来签,根证书是 RSA 也没有任何问题。 |
| 5 jinyue524 OP @dndx 也就是说,用openssl 的时候,先生成 ecc 的公钥对,然后生成 csr,等着 CA 签名就行了? |
| 6 dndx 2014-10-18 14:11:15 +08:00 @jinyue524 CA 支持的话就没问题,去年去 Comodo 签的时候死活说公钥长度太短(EC 256bit),目测是不支持。 |
| 7 Quaintjade 2014-10-18 22:18:24 +08:00 @dndx 原来如此。 那看来不是技术本身限制RSA不能签ECC,只是CA不愿这么签。 |
 | 8 msg7086 2014-10-19 11:53:41 +08:00 ECC,Opera 12似乎是不支持的……之前看到一个cloudflare节点用了ECC结果就是连不上。过两天分到RSA证书节点了又能连了 |
Select Language