SSL Sertifikası Sınıf 2'ye karşı Sınıf 3'e karşı Sınıf 4'e

20

Bir "Premium EV SSL Sertifikası" formu aldım GoDaddy.com. Görünüşe göre 8 ay önce GoDaddy Sınıf 3 Sertifikaları vermiyor. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Ayrıca şu sertifikaların kullanılmasına da dikkat ettiler:

E-posta amaçlı bireyler için Sınıf 1.

Kimlik kanıtı gerektiren kuruluşlar için Sınıf 2.

Sertifika veren sertifika yetkilisi tarafından kimlik ve otoritenin bağımsız olarak doğrulanması ve kontrolünün yapıldığı sunucular ve yazılım imzalama için Sınıf 3.

Şirketler arasındaki çevrimiçi ticari işlemler için Sınıf 4.

Özel kuruluşlar veya devlet güvenliği için Sınıf 5

  1. EV sertifikası doğrulaması Sınıf 3 doğrulamasıyla aynı değil mi? EV sertifikaları neden sadece sınıf 3 değil?
  2. Kişiler Sınıf 4 Sertifika kullanıyor mu? Teknik olarak sertifikamızı B'den B'ye SABUN için kullanıyoruz. Hangisi Sınıf 4'e girer? Sınıf 4 gerçekten gerekli mi?
  3. CA'ların listesi ve verdikleri sertifikalar nerede?
  4. Şifrelemeye bağlı olduğundan, sertifikalar arasında kim olduğunuzu söylediğiniz doğrulamanın yanı sıra önemli bir fark var mı?
  5. Bir CA'nın Sınıf 2 ve Sınıf 3 ve Sınıf4 Sertifikalarını verip veremeyeceğini ne belirler?

Teşekkürler!

ssl-certificate  encryption 
jneff
kaynak

Yanıtlar:

17

Pazarlama hype (ve maliyet). Bu şartnamenin bir parçası değil. Bu Wikipedia'dan:

http://en.wikipedia.org/wiki/Public_key_certificate

Tedarikçi tarafından tanımlanan sınıflar

VeriSign, farklı dijital sertifika türleri için sınıf kavramını kullanır [3]:

  • E-posta amaçlı bireyler için Sınıf 1.
  • Kimlik kanıtı gerektiren kuruluşlar için Sınıf 2.
  • Sertifika veren sertifika yetkilisi tarafından kimlik ve otoritenin bağımsız olarak doğrulanması ve kontrolünün yapıldığı sunucular ve yazılım imzalama için Sınıf 3.
  • Şirketler arasındaki çevrimiçi ticari işlemler için Sınıf 4.
  • Özel kuruluşlar veya devlet güvenliği için Sınıf 5.

Diğer sağlayıcılar SSL protokolünde belirtilmediğinden, farklı sınıflar kullanmayı veya hiç sınıf kullanmamayı tercih edebilirler, ancak çoğu sınıfları bir biçimde kullanmayı tercih eder.

Bu yeni (ish). Eskiden söylediğiniz kişi olduğunuzdan emin olmak için tüm istekleri doğrularlardı. Bu yol boyunca gitti, böylece birkaç gün yerine birkaç dakika içinde bir sertifika alabilirsiniz.

kls
kaynak
Öyleyse GoDaddy neden "Go Daddy Class 2 Sertifika Yetkilisi"? Sertifika Yetkilileri sınıfları var mı?
jneff
8
@jneff: GoDaddy'de "GoDaddy Sınıf 2 Sertifika Yetkilisi" adını verdikleri bir CA vardır. Dahili CA'larına istedikleri her şeyi adlandırabilirler. Eğer isterse "GoDaddy Class Asparagus CA" diyebilirler.
David Schwartz
5

Herhangi bir "Sertifika Sınıfı" değeri tamamen pazarlama şeylerdir. Teknik olarak, bir "Sertifika Yetkilisi" (CA), bu sertifikalar do gerçeği dışında tarayıcının önceden yüklenmiş sertifika deposunda sıradan bir SSL / TLS sertifikası vardır değil hemen hemen her Normal sertifikanın içindeki gömülü olduğu ekstra uzatma bayrağı şunlardır:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Teknik olarak, tarayıcınızın sertifika deposunda herhangi CA sadece ek CA sertifikaları oluşturabilir değil onlar imzalamak ve sadece CA sertifikasında bu uzantıyı içeren politika olduğunu önleyebilirsiniz. Genişletilmiş Doğrulama (EV) sertifikası, yalnızca

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

"Kritik Değil" durumuna dikkat edin; herhangi bir yazılım bu şeyleri göz ardı ücretsizdir. Bir CA'nın imzaladığı her sertifikaya bu bayrağı eklemesini engelleyen tek şey kendi ilkeleridir. Bunun dışında, sertifikayı imzalamadan önce sertifika dosyasına yalnızca birkaç bayt eklenir.

Temel olarak tüm bunlar, tarayıcılara kabul edilmiş en zayıf CA ile eşleşen güvenliğe sahip olmakla ilgilidir . "Sertifika Sınıfı" teknik olarak yalnızca kullanıcının görebildiği CA etiketinin içinde bulunur, bu nedenle güvenlikte sıfır gerçek dünya farkına sahiptir. Tüm CA'lar teknik olarak aynı olduğundan, tek bir CA'nın gerçekten zorlanan politikası gerçekten aklı başında ise neredeyse sıfır fark yaratır - bunun nedeni potansiyel saldırganın sahte sertifikasını almak için her zaman başka bir CA'yı kullanabilmesidir.

Black Hat USA 2011'de verilen "SSL ve Orijinallik Geleceği" adlı Moxie Marlinspike'ın konuşmasını izlemenizi şiddetle tavsiye ederim : http://www.youtube.com/watch?v=Z7Wl2FW2TcA . mevcut CA sisteminin neden çok zayıf olduğunu anlamanıza yardımcı olur.

İstemci yazılımınızda sessiz kalmak için varsayılan uyarıları alan herhangi bir sertifika satın almanızı öneririm . Tarayıcı arayüzünde daha iyi bir rozet istiyorsanız, herhangi bir EV sertifikası satın alın . Eğer ve ne zaman size fazla güvenliğe ihtiyacı, her zaman kendiniz sertifika parmak izi kontrol edin; işlerini düzgün yapmak için hiçbir üçüncü taraf CA'ya asla güvenmeyin .

Mikko Rantalainen
kaynak
3

Pek değil. En saygın Sertifika satıcıları bu Sınıf 3 denetim listesinin tümünü yapar. Bir EV sertifikası, aynı kontrollerin sadece ekstra bir versiyonudur ve bu kontrolleri 'normal' olanların daha fazla nedeni için başarısız olabilirsiniz.

sysadmin1138
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.