С 1 января 2018 года выпуск сертификатов с алгоритмом шифрования DSA приостановлен

Алгоритм шифрования цифровых подписей DSA

Компания DigiCert стала первым центром аутентификации, предлагающим своим клиентам SSL-сертификаты с применением алгоритма алгоритма цифровой подписи (DSA). Сертификат DSA входит во все сертификаты DigiCert SSL уровня Standard и Premium абсолютно бесплатно. Он аналогичен RSA с точки зрения уровня безопасности и быстродействия, но использует другой способ шифрования и создания цифровой подписи. Для этого сертификата требуется меньше циклов обработки на сервере, что позволяет установить больше одновременных соединений SSL и ускоряет обработку. Предлагает более широкий выбор вариантов шифрования: для усиления защиты веб-сайта вы можете установить только RSA, только DSA или оба сертификата сразу. Сервер Apache способен поддерживать оба сертификата RSA и DSA на одном веб-сервере Предоставляет больше возможностей и гибкости для соблюдения государственных требований, которые со временем становятся все строже. Помогает максимально расширить экосистему, включив в нее всех сотрудников и партнеров организации. Сертификат DSA одобрен правительством США: DSA разработан в NSA в 1991 году и имеет сертификаты Службы безопасности Министерства обороны США и FIPS.

SSL сертификаты DigiCert предлагают на выбор три различных алгоритма шифрования - RSA, DSA, ECC Хотя все три криптографические системы с открытым ключом являются безопасными, эффективными и коммерчески жизнеспособными, они различаются по типу математической проблемы, на которой они основаны. Это влияет не только на то, насколько уязвимы они к атакам грубой силы, часто используемым хакерами, но это также может привести к различию в размерах ключей, генерируемых алгоритмом, для обеспечения определенного уровня безопасности. NIST предоставляет рекомендации по минимальным размерам различных ключей в соответствии с уровнем безопасности

	Minimum size (bits) of Public Keys			Key Size Ratio	Безопасны
Security	DSA	RSA	ECC	ECC к RSA/DSA
80	1024	1024	160-223	1:6	до 2010
112	2048	2048	224-255	1:9	до 2030
128	3072	3072	256-383	1:12	после 2031
192	7680	7680	384-511	1:20
256	15360	15360	512+	1:30

В приведенной выше таблице ясно видно, что размер ключей RSA и DSA растет намного быстрее, чем размеры, основанные на ECC, когда они сталкиваются с возрастающими требованиями безопасности. Это важно, потому что для более длинных ключей требуется больше места для хранения, большая пропускная способность для передачи и, возможно, больше мощности процессора и времени для генерации ключей, шифрования и дешифрования с ними.

DSA - это дискретная логарифмическая система. Он был разработан Агентством национальной безопасности в 1991 году в качестве альтернативы RSA и является федеральным стандартом цифровой подписи. Алгоритм DSA обеспечивает тот же уровень защиты и производительности, что и алгоритм RSA для аналогичных размеров ключей, но использует другой математический алгоритм для подписи, и обнаружение любого изменения передаваемого сообщения. Хотя размеры ключей идентичны RSA, генерация ключей и цифровая подпись с использованием DSA быстрее. Проверка ключа немного медленнее. DSA также совместим с большинством серверов, и поскольку он уже является федеральным стандартом, использование SSL-сертификата, поддерживающего DSA, упрощает работу с предприятиями для удовлетворения требований государственных контрактов

Требования безопасности будут возрастать, а попытки хакеров станут более изощренными и мощными, но меры безопасности будут улучшаться наряду с угрозами. Агрессивность алгоритмов будет иметь все большее значение для бизнеса, позволяя владельцам и ИТ-отделам гибкость и масштабируемость, необходимые им для адаптации к потребностям своих клиентов и их бизнеса. DigiCert SSL-сертификаты теперь включают алгоритмы DSA или ECC наряду с стандартными алгоритмами RSA. Интеграция новых алгоритмов в продукты сертификатов SSL предоставляет удобный способ для бизнеса улучшить и повысить свою онлайн-безопасность в партнерстве с наиболее доверенным центром сертификации в мире.

• Следите за меняющимися государственными требованиями. Алгоритм DSA был охвачен федеральными агентствами. В результате установка сертификата, который поддерживает шифрование DSA, упрощает выполнение требований государственных контрактов и стандартов, включая предстоящий переход на 2048-битное шифрование.
• Расширенная безопасность. Алгоритм DSA обеспечивает тот же уровень безопасности и производительности, что и алгоритм RSA, но использует другой, менее используемый математический алгоритм. Мы включаем оба варианта RSA и DSA в наши сертификаты SSL без каких-либо дополнительных затрат.
• Гибкость - вы можете использовать только RSA, только DSA или оба, чтобы повысить безопасность вашего сайта. Совместное использование нескольких алгоритмов помогает защитить ваши данные с помощью более широкого набора параметров шифрования. Например, некоторые веб-серверы могут поддерживать оба сертификата RSA и DSA в тандеме на одном веб-сервере. Результат: вы максимизируете доступность своей экосистемы для всех, с кем ваша компания ведет бизнес.

Преимущества DSA в настоящее время ограничены людьми, которым необходимо вести бизнес с агентствами США, подрядчиками или субподрядчиками. Некоторые из них требуют DSA для безопасного обмена информацией. Это может измениться по мере того, как корни и сертификаты DSA становятся более распространенными в общей экосистеме безопасности, но некоторые предположения заключаются в том, что это останется в значительной степени особенностью ведения бизнеса в соответствии с государственными правилами или политикой. Однако, когда это возможно, использование алгоритмов RSA и DSA на вашем сервере создает избыточные пары ключей SSL и дает дополнительную меру безопасности.