Tout savoir sur les certificats SSL ECC
ECC, qu'est ce que c'est et comment ça fonctionne ?
ECC signifie Elliptic Curve Cryptography, comprendre Cryptographie à Courbe Elliptique en français.
Basée, comme son nom l'indique, sur un système de courbes elliptiques, la cryptographie ECC permet de générer des clés d'une longueur nettement inférieure à celle des clés RSA pour un niveau de sécurité équivalent.
Les deux systèmes utilisent de grands nombres premiers mais quand RSA est basé sur la factorisation de ces derniers, ECC utilise les logarithmes discrets.
Dans la pratique, clés et certificats fonctionnent de la même façon que RSA mais utilisent simplement un format différent.
Pourquoi opter pour ECC ?
L'évolution technologique oblige l'industrie à augmenter régulièrement la taille minimale des clés RSA. Aujourd'hui générées en 2048-bit minimum, l'ANSSI recommande le 4096-bit à partir de 2020. Or la taille des clés a un impact non négligeable sur la performance de vos équipements.
Les clés ECC étant plus légères, elles permettent aux systèmes d'information compatibles une meilleure performance.
Ci-dessous un tableau présentant l'équivalence ECC / RSA :
| Taille des clés RSA (bits) | Taille des clés ECC (bits) |
|---|---|
| 1024 | 160 |
| 2048 | 224 |
| 3072 | 256 |
| 7680 | 384 |
| 15360 | 521 |
Les recommandations de l'ANSSI
Tout comme l'ANSSI recommande une longueur de clé minimale de 2048-bit pour les certificats RSA, les clés ECC doivent également avoir une taille de clé minimale. Cette dernière est fixée à 256-bit. Les CSR doivent donc respecter cette règle.
Comment déposer une demande de certificat SSL ECC ?
Rien de plus simple. Le dépôt de commande se passe de la même façon que pour un certificat RSA. La différence étant que le CSR soumis doit être généré au format ECC (Voir Comment généner un CSR ECC avec OpenSSL). Le système détectera automatiquement le format du CSR et fabriquera un certificat utilisant le même format.
Repérer les éléments graphiques
Lors du dépôt de la commande, de nouveaux éléments graphiques indiquent quels produits
sont disponibles au format ECC et comment ils sont chaînés (voir plus bas) :
- Certificat et Chaîne de certification au format ECC
- Certificat ECC et Chaîne de certification au format RSA
- Certificat et Chaîne de certification au format RSA
Les chaines de certification
Les certificats Sectigo EV ECC sont entièrement chainés ECC, c'est à dire que certificat, certificats intermédiaires et certificat racine sont tous au format ECC.
Les produits Sectigo non-EV et TBS X509 sont pour le moment sous certification croisée : le certificat est au format ECC alors que les certificats intermédiaires et le certificat racine restent au format RSA. Ces produits bénéficieront d'une meilleure reconnaissance par les anciennes versions navigateurs.
Compatibilité serveurs / navigateurs ?
ECC étant encore peu déployé, la reconnaissance de ces certificats par serveurs et navigateurs est moins bonne que celle de leurs homologues RSA. Cette différence sera cependant relative pour les certificats utilisant une certification croisée (certificat ECC utilisant une chaine RSA).
De plus, même si le certificat est reconnu par le navigateur (racine présente), il existe la possibilité que le navigateur ne soit pas compatible avec la technologie.
Ces 2 éléments sont doivent être pris en compte lorsque l'on parle de reconnaissance / compatibilité.
Consulter la compatibilité des navigateurs avec les certificats SSL.