درباره تفاوتهای SHA2 و SHA3
دوستان میتونن خیلی کوتاه و ساده تفاوت های sha2 و sha3 رو بگن و اینکه الان برای راه اندازی یک ca که قراره به اینترنت هم سرویس بده کدومیک مناسبتره؟
اگر مثلا root ca روی SHA1 و 2048 باشه، Sub ca میتونه روی SHA256 و 4096 تنظیم بشه؟
ممنون میشن دوستانی که تجربه دارند راهنمایی کنن.
10 پاسخ
ببخشید اینجوری میگم اما اصلا CA مایکروسافت برای استفاده عمومی نه ساخته شده و نه توصیه میشه ، شما اگر قرار هست بصورت Public کار کنید باید برید CA بخرید مایکروسافت CA به درد اینکار نمیخوره .
ببخشید، متوجه منظورتون نشدم.
1- اگر بخوام در سطح وب به کاربر عمومی خدمات بدم و یه شبکه تقریبا وسیع برای این کار پیاده سازی کنم که مبتنی بر محصولات مایکروسافت باشه بهتره از مایکروسافت CA استفاده کنم.
2- اگر شبکه ای که طراحی میکنم مبتنی بر محصولات مایکروسافت نباشه، بهتره از CA های دیگری استفاده کنم، چون مایکروسافت CA بیشتر به درد محصولات خودش میخوره و بس، و به درد سطوح کلان نمیخوره.
من این رو متوجه شدم از متن شما. درسته؟
تشکر مجدد استاد.
بنابراین توصیه شما اینه که حتی از Web Service و Policy web service هم ترجیحا در محیط Public استفاده نشه و اگر کاربردی دارند در همون محدوده Trusted Local استفاده شوند؟
چون مایکروسافت این 2 تا سرویس رو برای استفاده در سطح وب معرفی کرده یا حداقل استنباط من اینه.
(ببخشید زیاد سئوال میکنم :-)
شما قراره از این CA برای چه تعداد کاربر و چه کاربردی استفاده کنید؟
سلام و ممنون از راهنمایی تون.
با توجه به اینکه SHA2 هم شاید خیلی از عمرش باقی نمونده باشه، آیا امکان پیاده سازی SHA3 در مایکروسافت CA وجود داره؟ 2012 یا 2016؟
شما در هر شبکه ای می تونید بصورت Trusted از CA مایکروسافت استفاده کنید که Certificate خود CA از جایی که صادر میشه باید معتبر باشه ، چون CA های داخلی خودشون برای خودشون Certificate ایجاد می کنن طبیعتا در بیرون شبکه اعتبار ندارند ، برای شبکه داخلیتون بدون محدودیت می تونید استفاده کنید چون این قابلیت رو دارید که بصورت دستی CA رو Trusted کنید.
ممنون از پاسختون. برای ارتباطات سرورها و سرویسها در شبکه داخلی چطور؟ البته این شبکه داخلی به بیرون سرویس میده. مثلا یه سرویسی که توی لایه DMZ هست و میخواد به DB که در لایه Trust Local قرار داره وصل بشه، برای اینکه این ارتباط امن تر بشه، میتونم از CA مایکروسافت استفاده کنم؟ یا مثلا برای ارتباط 2 تا سایت که قراره با کریو و از طریق VPN با هم در ارتباط باشند؟
در واقع با این وصف، CA مایکروسافت به بیرون دیگه سرویس نمیده، فقط ارتباطات شبکه داخلی رو امن تر میکنه. نظر شما چیه؟
البته طبق فرمایش شما دیگه اون بخشهای Web Service و Policy Web Service کاربردی نخواهند داشت.
یه مقدار گیج شدم ببخشید :-)
اولین نکته اینکه دیگه استفاده از SHA1 به هیچ عنوان توصیه نمیشه ، پس در خصوص Root CA که هیچ در خصوص هر CA ای استفاده ازش رو فراموش کنید ، در خصوص SHA3 باید بگم که هیچ صنمی با SHA1 و SHA2 چه از نظر الگوریتم و چه از نظر معماری نداره و فقط اسمش رو به این شکل انتخاب کردند چون برنده مسابقه بین المللی NIST در حوزه رمزنگاری SHA شد ، چون الگوریتم کاملا جدیدی داره طبیعتا حملات و آسیب پذیری های الگوریتم های قبلی رو نداره ، طبیعتا اگر CA شما پشتیبانی کنه SHA3 بهترین گزینه برای رمزنگاری هست ، در صورتیکه Root CA شما 4096 بیتی باشه ارتباطش با SubOrdinate ها هم باید 4096 بیتی باشه و برای کاربران باید از 2048 استفاده کنید ، طول کلید 1024 از نظر امنیتی کلا منتفی هست استفاده عمومیش ...
من ندیدم ، روی کلاینت ها دیدم نوشته پشتیبانی می کنه اما روی سرور من جایی نخوندم که میشه ، اساسا CA مایکروسافت برای همون محصولات خودش بس هست و بس ... زیاد درگیر پیچیدگی نشید برای سطوح کلان از مایکروسافت CA استفاده کنید ...
در سطح وب قرار استفاده بشه، شاید در طول یکسال به 30 تا 40 هزار کاربر عمومی برسه (البته برای پشتیبانی از این نوع کاربر باید از Public root ca استفاده بشه. درسته؟). فکر کنم برای همکارا و دوستای خودمون که قراره از بیرون به شبکه داخلی وصل بشن، میشه استفاده کرد یا مثلا یکی از استفاده هاش در سطح وب صدور گواهی برای سرویس ها است. البته چون Public CA نیست بیشتر به بخش هایی میتونه سرویس بده که در داخل شبکه با هم ارتباط دارند. مثل امن کردن ارتباط سرویسهای داخلی با دیتابیس مثلا. یا ارتباط سایتهایی که از نظر جغرافیایی جدا از هم هستند. هنوز توی این حوزه خیلی کار دارم تا مفاهیم رو و کاربردها رو درک کنم. ممنون میشن راهنمایی بفرمایید.