Сертифікат SSL 2 клас проти 3 класу проти 4 класу


20

Щойно я отримав форму "Premium EV SSL сертифікат" GoDaddy.com. Очевидно, станом на 8 місяців тому GoDaddy не надає сертифікати класу 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Вони також визначили використання сертифікатів:

1 клас для фізичних осіб, призначений для електронної пошти.

2 клас для організацій, яким потрібно підтвердити особу.

Клас 3 для підписання серверів та програмного забезпечення, для якого незалежна перевірка та перевірка особи та повноважень здійснюється органом, що видає сертифікат.

Клас 4 для бізнес-операцій в Інтернеті між компаніями.

5 клас для приватних організацій або державних служб безпеки

  1. Чи не підтвердження сертифікату EV таке ж, як перевірка класу 3? Чому сертифікати EV не просто клас 3?
  2. Чи користуються люди сертифікатами класу 4? Технічно ми використовуємо наш сертифікат для мила від B до B. Що підпадає під клас 4. Чи справді потрібен клас 4?
  3. Де перелік ЦО та сертифікати, які вони видають?
  4. Оскільки воно зводиться до шифрування, чи є якась значна різниця між сертифікатами, крім валідації, що ви говорите, що ви є ким є?
  5. Що визначає, чи може CA видавати сертифікати класу 2 проти класу 3 та класу 4?

Спасибі!

Відповіді:


17

Маркетинг (і вартість). Це не є частиною специфікації. Це з Вікіпедії:

http://en.wikipedia.org/wiki/Public_key_certificate

Класи, визначені продавцем

VeriSign використовує концепцію класів для різних типів цифрових сертифікатів [3]:

  • 1 клас для фізичних осіб, призначений для електронної пошти.
  • 2 клас для організацій, яким потрібно підтвердити особу.
  • Клас 3 для підписання серверів та програмного забезпечення, для якого незалежна перевірка та перевірка особи та повноважень здійснюється органом, що видає сертифікат.
  • Клас 4 для бізнес-операцій в Інтернеті між компаніями.
  • 5 клас для приватних організацій або державних служб безпеки.

Інші постачальники можуть вирішити використовувати різні класи або взагалі відсутні класи, оскільки це не визначено в протоколі SSL, хоча більшість з них вирішили використовувати класи в якійсь формі.

Це нове (ish). Вони фактично перевіряли всі запити, щоб переконатися, що ви були тим, ким ви сказали. Це пішло убік, тому ви можете отримати випробування за кілька хвилин замість кількох днів.


То чому ж GoDaddy є "Сертифікаційним органом Go Daddy Class 2"? Чи існують класи органів сертифікації?
jneff

8
@jneff: У GoDaddy є CA, який вони називають "Сертифікаційним органом GoDaddy Class 2". Вони можуть називати свої внутрішні КА все, що хочуть. Вони можуть назвати це "Спаржею класу GoDaddy Class CA", якщо хочуть.
Девід Шварц

5

Будь-яке значення "Класу сертифікатів" - це суто маркетингові матеріали. Технічно "Сертифікаційний орган" (CA) - це лише звичайний сертифікат SSL / TLS у попередньо встановленому магазині сертифікатів браузера, за винятком того факту, що ці сертифікати не містять додаткового прапора розширення, який вбудований всередину майже кожного звичайного сертифіката:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Технічно будь-який ЦА у магазині сертифікатів веб-переглядача може створювати додаткові сертифікати сертифіката ЦС, не включаючи це розширення в сертифікат, який вони підписують, і лише політика ЦА може цього уникнути. А сертифікат Extended Verification (EV) - це лише додатковий прапор розширення, який говорить

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Помічайте статус "Не критично"; будь-яке програмне забезпечення може ігнорувати цей матеріал. Єдине, що заважає ЦС додавати цей прапор до кожного сертифіката, який вони підписують, - це власна політика. Крім цього, перед підписанням сертифікату до файлу сертифікатів додано лише пару байтів.

Тому в основному все це зводиться до того, щоб забезпечити безпеку, яка відповідає найслабшому КА, який коли-небудь був прийнятий у браузери. "Клас сертифікатів" технічно існує лише всередині видимої користувачем етикетки CA, тому він має нульову різницю у світі в безпеці. Оскільки всі КА технічно однакові, це робить майже нульову різницю, якщо фактично застосовувана політика одного КА насправді є розумною - це тому, що потенційний зловмисник завжди може використовувати інший ЦА, щоб отримати його підроблений сертифікат.

Я настійно рекомендую переглядати розмови Моксі Марлінспік під назвою "SSL та майбутнє автентичності", подані в Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . це допоможе вам зрозуміти, чому нинішня система CA дуже слабка.

Я рекомендую придбати будь-який сертифікат, який отримує попередження за замовчуванням, щоб мовчати у вашому клієнтському програмному забезпеченні. Якщо ви хочете приємнішого значка в інтерфейсі браузера, придбайте будь-який сертифікат EV. Якщо і коли вам потрібно більше безпеки, завжди перевіряйте відбитки пальців сертифіката самостійно; ніколи не довіряйте будь-якій сторонній організації, яка виконує свої речі належним чином.


3

Не зовсім. Найповажніші продавці сертифікатів роблять усі ці контрольні переліки класу 3. EV Cert - це лише додаткова ретельна версія тих самих чеків, і ви можете провалити ці перевірки з багатьох інших причин, які є "звичайними".

Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.