TLS 1.2 с шифрами RSA и ECDSA
Microsoft сообщила, что она будет поддерживать TLS 1.2 только с одним из следующих шифров:
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
https://docs.microsoft.com/en-us/power-platform/admin/server-cipher-tls-requirements
Однако, когда я тестирую шифры TLS моего сайта, я вижу, что ближайший эквивалент сообщается как "ECDSA", а не "RSA". Например:
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
Конечной точкой, которую я тестирую, является Cloudflare. В их списке шифров указано, что RSA поддерживается, но я не вижу RSA в списке, когда тестирую его на ssllabs.com.
https://developers.cloudflare.com/ssl/ssl-tls/cipher-suites
Являются ли ECDSA и RSA эквивалентными? Может ли эта разница вызвать проблемы с Microsoft?
RSA и ECDSA - это не эквивалентные термины, а две основные альтернативы для подписания сертификатов сегодня.
RSA значительно более популярен для использования в TLS (в основном по традиции), но ECDSA - вполне приемлемый вариант и, вероятно, более перспективный.
В документации Microsoft Power Platform перечислены требования к набору шифров только для "дорожки" RSA (вероятно, из-за ее популярности), и их общий настрой вполне ясен - они отказываются от устаревших параметров TLS. Однако запрет ECDSA не совсем соответствует этому настроению, и в целом было бы немного странно, если бы они отказались от ECDSA.
Возможно, это просто недосмотр в документации, но вам, вероятно, следует попробовать попросить их прояснить ситуацию; вполне возможно, что ECDSA работает, но нехорошо предполагать, что их документация ошибочна, а затем, возможно, у вас выдернут ковер из-под ног.
В противном случае узнайте, может ли Cloudflare предоставить вам сертификаты на основе RSA, или, в качестве альтернативы, предоставьте такие сертификаты самостоятельно.
Являются ли ECDSA и RSA эквивалентными?
Нет. Шифры RSA можно использовать, только если сертификат имеет открытый ключ RSA. Шифры ECDSA можно использовать только в том случае, если сертификат имеет открытый ключ ECC. Если вы хотите использовать требуемые шифры, вам нужно изменить сертификат на тот, который имеет открытый ключ RSA.
Может ли это различие вызвать проблемы с Microsoft?
Поскольку ничто в части, которую вы цитируете, не указывает на то, что они также будут принимать шифры ECDSA, не исключено, что это может вызвать проблемы.