Certificado SSL Classe 2 vs Classe 3 vs Classe 4

Navegue suas respostas
19

Acabei de receber o formulário "Premium EV SSL Certificate" do GoDaddy.com. Aparentemente, há 8 meses atrás, o GoDaddy não fornece Certificados de Classe 3. ( link ) Eles também criaram o uso de certificados para ser:

Class 1 for individuals, intended for email.

Class 2 for organizations, for which proof of identity is required.

Class 3 for servers and software signing, for which independent verification and checking of identity and authority is done by the issuing certificate authority.

Class 4 for online business transactions between companies.

Class 5 for private organizations or governmental security

  1. A validação do certificado EV não é igual à validação da Classe 3? Por que os certificados EV não são apenas da classe 3?
  2. As pessoas usam Certificados de Classe 4? Tecnicamente usamos nosso certificado para um B para B SOAP Que se enquadraria na Classe 4. A classe 4 é realmente necessária?
  3. Onde há uma lista de CAs e os certificados que eles emitem?
  4. Como tudo se resume à criptografia, existe alguma grande diferença entre os certificados e a validação que você diz ser quem você é?
  5. O que determina se uma CA pode fornecer Certificados de Classe 2 vs Classe 3 e Classe 4?

Obrigado!

    
por jneff 02.03.2012 / 23:00

3 respostas

16

Marketing exagerado (e custo). Isso não faz parte da especificação. Este é da Wikipedia:

link

Classes definidas pelo fornecedor

A VeriSign usa o conceito de classes para diferentes tipos de certificados digitais [3]:

  • Classe 1 para indivíduos, destinada a email.
  • Classe 2 para organizações, para as quais é necessário comprovar a identidade.
  • Classe 3 para servidores e assinatura de software, para a qual verificação independente e verificação de identidade e autoridade são feitas pela autoridade de certificação de emissão.
  • Classe 4 para transações comerciais on-line entre empresas.
  • Classe 5 para organizações privadas ou segurança governamental.

Outros fornecedores podem escolher usar classes diferentes ou nenhuma classe, já que isso não é especificado no protocolo SSL, embora a maioria opte por usar classes de alguma forma.

Isso é novo (ish). Eles costumavam verificar todos os pedidos para ter certeza de que você era quem você disse que era. Isso ficou no esquecimento para que você possa obter um certificado em alguns minutos, em vez de alguns dias.

    
por 02.03.2012 / 23:10
5

Qualquer valor de "Classe de certificado" é puramente material de marketing. Tecnicamente, uma "Autoridade de Certificação" (CA) é apenas um certificado SSL / TLS regular no Repositório de Certificados pré-instalado do navegador, exceto pelo fato de que esses certificados não incluem o sinalizador de extensão extra incorporado dentro de muito todo certificado normal: 

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Tecnicamente, qualquer autoridade de certificação no armazenamento de certificados do seu navegador pode criar certificados CA adicionais apenas por não incluindo essa extensão no certificado que assinam e somente a política pode evitar . E o certificado Extended Verification (EV) é apenas um sinalizador de extensão adicional que diz 

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Observe o status "Não crítico"; qualquer software é livre para ignorar essas coisas. A única coisa que impede que uma autoridade de certificação adicione esse sinalizador a todos os certificados assinados por eles é sua própria diretiva. Além disso, são apenas alguns bytes adicionados ao arquivo de certificado antes de assinar o certificado.

Então, basicamente, tudo isso se resume a ter uma segurança que corresponda à CA mais fraca que já foi aceita nos navegadores. A "Classe do Certificado" existe tecnicamente somente dentro do rótulo da CA visível do usuário, de modo que não há diferença real do mundo na segurança. Como todas as CAs são tecnicamente as mesmas, praticamente não faz diferença se a política realmente aplicada de uma única autoridade de certificação for realmente sã - isso ocorre porque o invasor em potencial pode sempre usar outra CA para obter seu certificado falso.

Eu recomendo assistir a palestra do Moxie Marlinspike chamado "SSL e o futuro da autenticidade" fornecido em preto Hat USA 2011: link . isso ajuda você a entender por que o atual sistema de CA é muito fraco.

Eu recomendaria a compra de qualquer certificado que faça com que os avisos padrão fiquem em silêncio no software do cliente. Se você quiser um selo melhor na interface do navegador, adquira qualquer certificado EV. Se e quando precisar de mais segurança, verifique sempre a impressão digital do certificado; nunca confie em qualquer CA de terceiros para fazer as coisas corretamente.

    
por 12.08.2013 / 07:42
2

Não é bem assim. Os fornecedores de certificados mais respeitáveis fazem toda a lista de verificação da Classe 3. Um certificado EV é apenas uma versão extra completa das mesmas verificações, e você pode falhar nessas verificações por muitos mais motivos que os "regulares".

    
por 02.03.2012 / 23:10

Tags

Como você gerencia e implanta as portas do FreeBSD em um ambiente grande? Como eu me torno um roteirista? [fechadas]