Open Source im professionellen Einsatz

Nginx unterstützt ECDSA und RSA parallel

20.05.2016

Nginx liefert nun auf Basis des Handshakes wahlweise RSA- oder ECDSA-Zertifikate aus. Der Vorteil: Kommen neuere Clients mit ECDSA-Support zum Einsatz, spart das Bandbreite.

161

Ein User hatte das Feature vor etwa einem halben Jahr angefordert und vorgeschlagen, zur Wahl des richtigen Zertifikats die "signature_algorithms"-Erweiterung beim Handshake zu nutzen. Seit gestern ist das Feature eingebaut und wird zusammen mit Nginx 1.11.0 veröffentlicht.

Offenbar hat das Verfahren mehrere Vorteile. Zum einen sind ECDSA-Zertifikate aufgrund der geringeren Schlüssellänge deutlich kleiner und schneller zu erzeugen. Ein 256-Bit langer Schlüssel bietet laut der Ecrypt-II-Empfehlung der EU denselben Schutz wie ein asymmetrischer 3248-Bit-Schlüssel. Die Schlüssel sind ebenso sicher wie RSA, weil Mathematiker das Problem diskreter Logarithmen in elliptischen Kurven nur mit wesentlich mehr Aufwand lösen können als das Faktorisieren ganzer Zahlen.

Der Vorteil der ECDSA-Keys: Sie lassen sich auch in Umgebungen mit limitierter Bandbreite einsetzen. Allerdings sind sie noch nicht so weit verbreitet wie ihre RSA-Pendants. Insbesondere ältere Clients unterstützen sie nicht. Akzeptiert ein Client jedoch ECDSA-Zertifikate, liefert Nginx diese also künftig aus, und spart so Bandbreite ein.

Ähnliche Artikel

  • Apache-Alternative Nginx in Version 1.4.0

    Version 1.4.0 von Nginx überführt HTTP-1.1- in Websocket-Verbindungen, verwendet OCSP beim Validieren von Zertifikaten und setzt experimentell auf Googles SPDY.

  • Ausgabetermine für die Let's-Encrypt-Zertifikate stehen

    Die Electronic Frontier Foundation (EFF) nennt konkrete Starttermine für die neue Zertifizierungsstelle "Let's Encrypt", die freie Zertifikate ausgeben möchte. Noch in diesem Sommer soll die CA (Certificate Authority) ihre Arbeit aufnehmen.

  • SSL

    Hinter SSL und TLS stecken komplexe Technologien. Wer kein Krypto-Buch wälzen möchte, um zu einem sicheren HTTPS-Webserver zu kommen, findet in diesem Artikel praxistaugliche Empfehlungen in Sachen Sicherheit, Kompatibilität und Performance.

  • Nginx Plus R7 ist da

    Die neueste Variante des kommerziellen Nginx-Servers heißt Nginx Plus R7 und bringt neue Features mit, darunter Support für HTTPS/2 und verbessert die Performance.

  • 10 Millionen für Nginx-Firma

    Nginx, die Firma hinter dem freien Webserver, erhält eine Finanzspritze von 10 Millionen US-Dollar.

comments powered by Disqus

Ausgabe 11/2017

Digitale Ausgabe: Preis € 6,40
(inkl. 19% MwSt.)

Stellenmarkt

Artikelserien und interessante Workshops aus dem Magazin können Sie hier als Bundle erwerben.