Till innehåll på sidan
KTH Intranät
This page in English

Certifikattyper

Här finns information om vilka certifikattyper det finns på KTH.

Vilka certifikattyper finns?

De typer av servercertifikat man kan välja på KTH är :

  • Använd i första hand: "GÉANT OV Multi-Domain" (Multi-domän) – använd 2048 och SHA256 (se nedan)
    • Denna certifikattyp tillåter att ett antal SAN (Subject Alternate Names) anges, d.v.s. ytterligare namn på samma server.
  • Det finns även ett sk Extended Validation (EV). Detta skall dock bara användas för mycket viktiga tjänster. Kontakta certadm@kth.se.
  • Normalt tillåter vi inte wildcard (*.xxx.kth.se), men om du har mycket speciella behov så kontakta certadm@kth.se.

  Certifikattyperna finns beskrivna på:

Varför valde vi nyckellängden 2048 och inte 4096?

Då nycklar med större nyckellängd är säkrare innebär de också att de genererar och större last och sämre prestanda på servrar/hårdvara.

En nyckellängd på 2048 skall enligt NIST motsvara 112 bitar symetrisk kryptering och skall vara säker till år 2030.

Skillnaden mellan 2048 och 4096?

  • Ökning av styrkan är exponentiell och kräver 4-7 gånger mer cpuprestanda
  • Signering blir långsammare
  • Etablering av anslutningar (handskakningar) blir betydligt långsammare och med ökat cpu användning vid handskakningen
  • Färre samtidiga SSL anslutningar mot webservrar/servrar
  • Kompatibilitets problem med 3:e partsprodukter som inte stöder större nycklar än 2048

Man kan testa prestandan på en server med openssl kommandot

openssl speed rsa

Ett exempel från en dator med en Intel i7-4770S, 4 CPU kärnor på 3.1 GHz

  sign verify sign/s verify/s

rsa  512 bits 0.000114s 0.000011s 8785.3 94943.8

rsa 1024 bits 0.000632s 0.000033s 1581.7 29878.7

rsa 2048 bits 0.004090s 0.000127s  244.5 7843.4

rsa 4096 bits 0.030865s 0.000483s   32.4 2068.5
Innehållsansvarig:it-support@kth.se
Tillhör: KTH Intranät
Senast ändrad: 2023-05-31