はじめに
こんにちは
表題の件で困惑した場面があったので備忘で下記に残します。
経緯
業務でSSL証明書更新を実施しています。認証機関はデジサートです。
いつ頃からか中間チェーンを選択する項目が増えており
下記のような選択肢が提示されました(ルートCAは割愛)。
DigiCert Global G2 TLS RSA SHA256 2020 CA1(SHA2-256)
DigiCert Global G3 TLS ECC SHA384 2020 CA1(SHA384ECDSA)
DigiCert Hybrid ECC SHA384 2020 CA1(SHA2-384)
DigiCert G5 TLS RSA4096 SHA384 2021 CA1(SHA2-384)
DigiCert G5 ECC SHA384 2021 CA1(SHA384ECDSA)
正直どのような違いがあるかわからなかったので下記にまとめました。
各要素の概要
①DigiCert Global G2 TLS RSA SHA256 2020 CA1(SHA2-256)
●Global G2
-DigiCert証明機関の第2世代。
DigiCertの証明書にはG1、G2、G3、G5があり世代を示す。
●TLS(Transport Layer Security )
-暗号化プロトコル。主にHTTP通信を安全なものにする。
●RSA
-証明書の署名に使われるアルゴリズム。
公開鍵で暗号化し、秘密鍵で復号化する仕組み。
●SHA256
-暗号学的なハッシュ関数の一つ。256はビット長。他には224,384,512がある。
SHAはこれまでSHA-0,-1,-2,-3と世代があり、
現在2が主流のためビット長の記載がるものは基本的にSHA2。
②DigiCert Global G3 TLS ECC SHA384 2020 CA1(SHA384ECDSA)
●Global G3
-DigiCert証明機関の第3世代。
SHA-384が一般的であるなど、G2よりもセキュリティ基準が強化。
●ECC(Elliptic Curve Cryptography)
-楕円曲線暗号方式。RSAより早く安全なアルゴリズム。
モバイルでの使用に適している。
●ECDSA(Elliptic Curve Digital Signature Algorithm)
-楕円曲線デジタル署名アルゴリズム。
デジタル署名の生成や、有効かどうかを検証するために使用。
③DigiCert Hybrid ECC SHA384 2020 CA1(SHA2-384)
●Hybrid ECC
-ECCとRSAを組み合わせた暗号技術。
ECCの効率性(認証,署名)とRSAの強度(暗号化,鍵交換)を組み合わせる。
④DigiCert G5 TLS RSA4096 SHA384 2021 CA1(SHA2-384)
●G5
-DigiCert証明機関の第5世代。RSA 4096などさらにセキュリティ基準が進化。
金融機関や政府機関など高度なセキュリティが求められる用途を想定。
●RSA4096
-RSA暗号方式の4096ビット長。
高いセキュリティが求められるシステムで広く使われている。
まとめ
調べてみるとそれぞれの中間CAで全く性能が異なることがわかりました。
どの程度のセキュリティが必要か、
どのような用途で使用するかを整理して選ぶことが寛容のようです。