Chứng chỉ SSL loại 2 so với loại 3 so với loại 4

20

Tôi vừa nhận được mẫu "Chứng chỉ SSL EV cao cấp" GoDaddy.com. Rõ ràng tính đến 8 tháng trước, GoDaddy không cung cấp Chứng chỉ Lớp 3. ( Http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Họ cũng metntioned việc sử dụng giấy chứng nhận là:

Lớp 1 cho cá nhân, dành cho email.

Lớp 2 cho các tổ chức, trong đó yêu cầu bằng chứng về danh tính.

Lớp 3 cho máy chủ và ký phần mềm, trong đó xác minh và kiểm tra danh tính và thẩm quyền độc lập được thực hiện bởi cơ quan cấp chứng chỉ phát hành.

Lớp 4 cho các giao dịch kinh doanh trực tuyến giữa các công ty.

Lớp 5 cho các tổ chức tư nhân hoặc an ninh chính phủ

  1. Không phải xác nhận chứng chỉ EV giống như xác nhận Lớp 3 sao? Tại sao chứng chỉ EV không chỉ là lớp 3?
  2. Mọi người có sử dụng Chứng chỉ Lớp 4 không? Về mặt kỹ thuật, chúng tôi sử dụng chứng chỉ của chúng tôi cho B đến B SOAP. Cái nào sẽ thuộc lớp 4. Một lớp 4 có thực sự cần thiết không?
  3. Danh sách CA và chứng chỉ mà họ cấp ở đâu?
  4. Vì nó có khả năng mã hóa nên có sự khác biệt lớn giữa các chứng chỉ ngoài việc xác nhận rằng bạn nói bạn là ai?
  5. Điều gì xác định nếu một CA có thể đưa ra Chứng chỉ Class 2 so với Class 3 và Class4?

Cảm ơn!

ssl-certificate  encryption 
jneff
nguồn

Câu trả lời:

17

Tiếp thị cường điệu (và chi phí). Đây không phải là một phần của thông số kỹ thuật. Đây là từ Wikipedia:

http://en.wikipedia.org/wiki/Public_key_cert ve

Các lớp định nghĩa nhà cung cấp

VeriSign sử dụng khái niệm các lớp cho các loại chứng chỉ kỹ thuật số khác nhau [3]:

  • Lớp 1 cho cá nhân, dành cho email.
  • Lớp 2 cho các tổ chức, trong đó yêu cầu bằng chứng về danh tính.
  • Lớp 3 cho máy chủ và ký phần mềm, trong đó xác minh và kiểm tra danh tính và thẩm quyền độc lập được thực hiện bởi cơ quan cấp chứng chỉ phát hành.
  • Lớp 4 cho các giao dịch kinh doanh trực tuyến giữa các công ty.
  • Lớp 5 cho các tổ chức tư nhân hoặc an ninh chính phủ.

Các nhà cung cấp khác có thể chọn sử dụng các lớp khác nhau hoặc hoàn toàn không có lớp nào vì điều này không được chỉ định trong giao thức SSL, tuy nhiên, hầu hết đều chọn sử dụng các lớp ở một số dạng.

Đây là mới (ish). Họ đã từng thực sự xác minh tất cả các yêu cầu để đảm bảo bạn là người mà bạn nói bạn là. Điều này đã diễn ra bên lề để bạn có thể nhận được chứng chỉ trong vài phút thay vì vài ngày.

kls
nguồn
Vậy tại sao GoDaddy là "Cơ quan chứng nhận lớp 2 của cha"? Có các lớp của Cơ quan Chứng nhận?
jneff
8
@jneff: GoDaddy có một CA họ gọi là "Cơ quan chứng nhận lớp 2 của GoDaddy". Họ có thể đặt tên CA nội bộ của họ bất cứ điều gì họ muốn. Họ có thể gọi nó là "CA măng tây lớp GoDaddy" nếu họ muốn.
David Schwartz
5

Bất kỳ giá trị "Lớp chứng chỉ" nào hoàn toàn là công cụ tiếp thị. Về mặt kỹ thuật, "Tổ chức phát hành chứng chỉ" (CA) chỉ là chứng chỉ SSL / TLS thông thường trong Cửa hàng chứng chỉ được cài đặt sẵn của trình duyệt, ngoại trừ thực tế là các chứng chỉ này không bao gồm cờ mở rộng bổ sung được nhúng bên trong khá nhiều chứng chỉ thông thường:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Về mặt kỹ thuật, bất kỳ CA nào trong Kho lưu trữ chứng chỉ của trình duyệt của bạn đều có thể tạo thêm chứng chỉ CA chỉ bằng cách không bao gồm tiện ích mở rộng này trong chứng chỉ mà chúng ký và chỉ chính sách CA mới có thể tránh điều đó. Và chứng chỉ Xác minh mở rộng (EV) chỉ là một cờ mở rộng bổ sung có nội dung

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Lưu ý trạng thái "Không quan trọng"; bất kỳ phần mềm là miễn phí để bỏ qua những thứ này. Điều duy nhất ngăn CA thêm cờ này vào mọi chứng chỉ mà họ ký là chính sách của riêng họ. Ngoài ra, đó chỉ là một vài byte được thêm vào tệp chứng chỉ trước khi ký chứng chỉ.

Vì vậy, về cơ bản, tất cả đều có được sự bảo mật phù hợp với CA yếu nhất từng được chấp nhận trong các trình duyệt. "Lớp chứng chỉ" tồn tại về mặt kỹ thuật chỉ bên trong nhãn CA hiển thị của người dùng để nó không có sự khác biệt trong thế giới thực trong bảo mật. Bởi vì tất cả các CA đều giống nhau về mặt kỹ thuật, nó sẽ tạo ra sự khác biệt gần như bằng không nếu chính sách thực thi của một CA thực sự lành mạnh - điều này là do kẻ tấn công tiềm năng luôn có thể sử dụng một số CA khác để lấy chứng chỉ giả của mình.

Tôi rất khuyên bạn nên xem cuộc nói chuyện của Moxie Marlinspike có tên là "SSL và tương lai của tính xác thực" được đưa ra trong Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . nó giúp bạn hiểu tại sao hệ thống CA hiện tại rất yếu.

Tôi khuyên bạn nên mua bất kỳ chứng chỉ nào nhận được cảnh báo mặc định để im lặng trong phần mềm máy khách của bạn. Nếu bạn muốn huy hiệu đẹp hơn trong giao diện người dùng trình duyệt, hãy mua bất kỳ chứng chỉ EV nào . Nếu và khi bạn cần bảo mật hơn, hãy luôn tự kiểm tra dấu vân tay chứng chỉ; không bao giờ tin tưởng bất kỳ CA bên thứ ba nào để thực hiện công cụ của họ đúng cách.

Mikko Rantalainen
nguồn
3

Không hẳn. Hầu hết các nhà cung cấp Chứng chỉ có uy tín đều thực hiện tất cả danh sách kiểm tra Loại 3 đó. Chứng chỉ EV chỉ là một phiên bản kỹ lưỡng hơn của cùng một séc và bạn có thể thất bại trong các séc đó vì nhiều lý do khác là 'thông thường'.

sysadmin1138
nguồn
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.