Сертификат SSL класса 2 против класса 3 против класса 4

20

Я только что получил «Сертификат Premium EV SSL» от GoDaddy.com. Видимо, по состоянию на 8 месяцев назад GoDaddy не предоставляет сертификаты класса 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Они также отметили использование сертификатов, чтобы:

Класс 1 для физических лиц, предназначен для электронной почты.

Класс 2 для организаций, для которых требуется подтверждение личности.

Класс 3 для подписи серверов и программного обеспечения, для которого независимая проверка и проверка личности и полномочий выполняется выдающим центром сертификации.

Класс 4 для онлайн-транзакций между компаниями.

Класс 5 для частных организаций или государственной безопасности

  1. Разве валидация сертификата EV не совпадает с валидацией класса 3? Почему сертификаты EV не только класс 3?
  2. Люди используют сертификаты класса 4? Технически мы используем наш сертификат для B-B SOAP. Что подпадает под класс 4. Действительно ли нужен класс 4?
  3. Где находится список центров сертификации и сертификатов, которые они выдают?
  4. Поскольку все сводится к шифрованию, есть ли существенная разница между сертификатами, помимо проверки того, что вы говорите, кто вы есть?
  5. Что определяет, может ли ЦС выдавать сертификаты класса 2 против классов 3 и Class4?

Благодарность!

ssl-certificate encryption jneff
источник

Ответы:

17

Маркетинговая ажиотаж (и стоимость). Это не часть спецификации. Это из Википедии:

http://en.wikipedia.org/wiki/Public_key_certificate

Классы, определенные поставщиком

VeriSign использует концепцию классов для различных типов цифровых сертификатов [3]:

  • Класс 1 для физических лиц, предназначен для электронной почты.
  • Класс 2 для организаций, для которых требуется подтверждение личности.
  • Класс 3 для подписи серверов и программного обеспечения, для которого независимая проверка и проверка личности и полномочий выполняется выдающим центром сертификации.
  • Класс 4 для онлайн-транзакций между компаниями.
  • Класс 5 для частных организаций или государственной безопасности.

Другие поставщики могут использовать другие классы или вообще не использовать их, поскольку это не указано в протоколе SSL, однако большинство предпочитают использовать классы в той или иной форме.

Это новое (иш). Раньше они фактически проверяли все запросы, чтобы убедиться, что вы были тем, кем, как вы сказали, вы были. Это пошло на второй план, так что вы можете получить сертификат за несколько минут вместо нескольких дней.

KLS
источник
Так почему же GoDaddy является «Центром сертификации Go Daddy Class 2»? Существуют ли классы центров сертификации?
'23
8
@jneff: у GoDaddy есть центр сертификации, который они называют «Центром сертификации GoDaddy Class 2». Они могут называть свои внутренние центры сертификации как угодно. Они могут называть это "GoDaddy Class Asparagus CA", если хотят.
Дэвид Шварц
5

Любая ценность "Certificate Class" является чисто маркетинговым материалом. Технически, «Центр сертификации» (ЦС) - это просто обычный сертификат SSL / TLS в предустановленном хранилище сертификатов браузера, за исключением того факта, что эти сертификаты не включают дополнительный флаг расширения, который встроен почти во все обычные сертификаты:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Технически, любой ЦС в хранилище сертификатов вашего браузера может создавать дополнительные сертификаты ЦС, просто не включив это расширение в сертификат, который они подписывают, и только политика ЦС может этого избежать. А сертификат расширенной проверки (EV) - это просто дополнительный флаг расширения, который говорит

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Обратите внимание на статус «Не критично»; любое программное обеспечение может свободно игнорировать этот материал. Единственное, что мешает ЦС добавить этот флаг в каждый сертификат, который они подписывают, - это их собственная политика. Кроме этого, это только пара байтов, добавленных в файл сертификата перед подписанием сертификата.

Таким образом, в основном все сводится к тому, чтобы иметь безопасность, которая соответствует самой слабой CA, когда-либо принятой в браузерах. «Класс сертификата» технически существует только внутри видимой пользователем метки CA, поэтому он не имеет реальной разницы в безопасности. Поскольку все CA технически одинаковы, различие практически равно нулю, если действительная политика одного CA действительно нормальна - это потому, что потенциальный злоумышленник всегда может использовать какой-то другой CA для получения своего поддельного сертификата.

Я настоятельно рекомендую посмотреть выступление Мокси Марлинспайк под названием «SSL и будущее аутентичности», данное в Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . это поможет вам понять, почему нынешняя система CA очень слабая.

Я бы порекомендовал приобрести любой сертификат, который получает предупреждения по умолчанию, чтобы замолчать в вашем клиентском программном обеспечении. Если вам нужен более приятный значок в пользовательском интерфейсе браузера, купите любой сертификат EV. Если и когда вам нужно больше безопасности, всегда проверяйте отпечаток сертификата самостоятельно; никогда не доверяйте любой партии CA третий , чтобы сделать свои вещи правильно.

Микко Ранталайнен
источник
3

Не совсем. Большинство авторитетных поставщиков сертификатов выполняют весь этот контрольный список класса 3. Сертификат EV - это просто очень тщательная версия тех же проверок, и вы можете провалить эти проверки по многим другим причинам, чем «обычные».

sysadmin1138
источник