Qual é o pior que pode acontecer se a sua cadeia de certificados EV estiver incorreta?

Navegue suas respostas
1

Depois de ter instalado o certificado EV SSL alguns meses, recebemos um e-mail do GoDaddy dizendo que a cadeia de certificados estava incorreta. Eles solicitaram que desativássemos o 'certificado raiz de GoDaddy Classe 2' e garantissem que tivéssemos os certificados corretos instalados. (presumivelmente eu estraguei algo quando o configurei pela primeira vez)

No entanto, eu não tinha visto nenhum erro de certificado nos últimos dois meses - mas, pelo menos, desde as alterações solicitadas, parece que o certificado está testando OK agora . (infelizmente eu não encontrei este site até depois de fazer as alterações, então eu não sei o que teria testado antes)

O que eu estou querendo saber é qual é o pior que poderia ter acontecido nesse meio tempo. Algumas pessoas não receberam uma barra verde? As pessoas receberam um aviso? Ou isso não importa realmente?

Também estou um pouco preocupado que outros certificados não EV sejam afetados pela desativação de todos os propósitos do certificado Classe 2 - isso é possível?

    
por Simon 26.07.2010 / 05:52

2 respostas

3

Se a sua cadeia estiver incorreta, o cenário mais provável é que as pessoas que não possuem a cadeia de certificados raiz completa para o certificado de emissão da CA receberão erros.

Os certificados EV são relativamente novos. Mesmo a Thawte apresentou apenas sua cadeia completa de EV para versões mais recentes de navegadores. Por exemplo, o Firefox 2 e o IE7 lançariam um erro de verificação, a menos que os certificados raiz fossem atualizados. O IE6 e o Firefox2 não exibirão a barra verde mesmo se o certificado verificar sem erro, pois o navegador não tem suporte para exibir uma barra verde.

Existem várias soluções alternativas, incluindo a adição da cadeia completa em seus servidores e a "mágica" do JavaScript do lado do cliente que a CA fornecerá, que atualizará os certificados do cliente.

    
por 26.07.2010 / 16:02
3

O pior que pode acontecer é que os usuários de navegadores mais antigos receberão um erro informando que o certificado não é confiável. O segundo pior que pode acontecer é que a "barra verde" não aparecerá em determinados navegadores.

Alterar os certificados intermediários que são enviados (mesmo desativando uma raiz) não deve ter nenhum efeito em outros certificados não-EV. Geralmente, você pode confiar em seu provedor de certificado para saber como obter certificados próprios confiáveis e compatíveis.

    
por 26.07.2010 / 16:01

Tags

Apaguei o usuário padrão no SQL / Server 2008 IPTables não bloqueando um endereço IP