Certificato SSL Classe 2 vs Classe 3 vs Classe 4

20

Ho appena ricevuto un modulo "Certificato SSL EV Premium" GoDaddy.com. Apparentemente a partire da 8 mesi GoDaddy non fornisce certificati di classe 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Hanno anche menzionato l'uso dei certificati per essere:

Classe 1 per persone fisiche, destinata alla posta elettronica.

Classe 2 per le organizzazioni, per le quali è richiesta la prova dell'identità.

Classe 3 per la firma di server e software, per la quale l'autorità di certificazione emittente verifica e verifica indipendente dell'identità e dell'autorità.

Classe 4 per transazioni commerciali online tra società.

Classe 5 per organizzazioni private o sicurezza governativa

  1. La convalida del certificato EV non è la stessa di una convalida di classe 3? Perché i certificati EV non sono solo di classe 3?
  2. Le persone usano i certificati di classe 4? Tecnicamente utilizziamo il nostro certificato per un SAPONE da B a B. Quale rientrerebbe nella Classe 4. È davvero necessaria una Classe 4?
  3. Dov'è un elenco di CA e dei certificati che emettono?
  4. Dal momento che si riduce alla crittografia, c'è qualche grande differenza tra i certificati oltre alla convalida che dici di essere quello che sei?
  5. Cosa determina se un'autorità di certificazione può rilasciare certificati di Classe 2 vs Classe 3 e Classe 4?

Grazie!

ssl-certificate  encryption 
jneff
fonte

Risposte:

17

Campagna pubblicitaria (e costo). Questo non fa parte delle specifiche. Questo è da Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Classi definite dal fornitore

VeriSign utilizza il concetto di classi per diversi tipi di certificati digitali [3]:

  • Classe 1 per persone fisiche, destinata alla posta elettronica.
  • Classe 2 per le organizzazioni, per le quali è richiesta la prova dell'identità.
  • Classe 3 per la firma di server e software, per la quale l'autorità di certificazione emittente verifica e verifica indipendente dell'identità e dell'autorità.
  • Classe 4 per transazioni commerciali online tra società.
  • Classe 5 per organizzazioni private o sicurezza governativa.

Altri fornitori possono scegliere di utilizzare classi diverse o nessuna classe in quanto ciò non è specificato nel protocollo SSL, tuttavia, la maggior parte sceglie di utilizzare le classi in qualche forma.

Questo è nuovo (ish). In passato verificavano effettivamente tutte le richieste per assicurarsi che fossi quello che hai detto di essere. Questo è andato di lato in modo da poter ottenere un certificato in pochi minuti invece di pochi giorni.

kls
fonte
Allora, perché GoDaddy è un '"Autorità di certificazione Go Daddy Classe 2"? Esistono classi di autorità di certificazione?
jneff
8
@jneff: GoDaddy ha una CA che chiamano "Autorità di certificazione GoDaddy Classe 2". Possono nominare le loro CA interne come vogliono. Se lo desiderano, possono chiamarlo "GoDaddy Class Asparagus CA".
David Schwartz
5

Qualsiasi valore di "Classe di certificato" è puramente materiale pubblicitario. Tecnicamente, una "Autorità di certificazione" (CA) è solo un normale certificato SSL / TLS nell'archivio certificati preinstallato del browser, tranne per il fatto che questi certificati non includono il flag di estensione aggiuntivo incorporato praticamente in ogni normale certificato:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Tecnicamente, qualsiasi CA nell'archivio certificati del browser può creare certificati CA aggiuntivi semplicemente non includendo questa estensione nel certificato che firmano e solo i criteri CA possono evitarlo. E il certificato di verifica estesa (EV) è solo un flag di estensione aggiuntivo che dice

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Notare lo stato "Non critico"; qualsiasi software è libero di ignorare questa roba. L'unica cosa che impedisce a una CA di aggiungere questo flag a ogni certificato che firma è la propria politica. A parte questo, sono solo un paio di byte aggiunti al file del certificato prima di firmare il certificato.

Quindi sostanzialmente tutto ciò si riduce ad avere una sicurezza che corrisponde alla CA più debole che sia mai stata accettata nei browser. La "Classe di certificato" esiste tecnicamente solo all'interno dell'etichetta della CA visibile dall'utente, quindi non ha differenze reali nella sicurezza. Dal momento che tutte le CA sono tecnicamente uguali, fa praticamente la differenza se la politica effettivamente applicata di una singola CA è effettivamente sana - questo perché un potenziale attaccante può sempre usare un'altra CA per ottenere il suo falso certificato.

Consiglio vivamente di guardare un discorso di Moxie Marlinspike intitolato "SSL e il futuro dell'autenticità" tenuto in Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . ti aiuta a capire perché l'attuale sistema CA è molto debole.

Consiglio di acquistare qualsiasi certificato che riceva avvisi predefiniti per rendere silenzioso il software client. Se desideri un badge più bello nell'interfaccia utente del browser, acquista qualsiasi certificato EV. Se e quando hai bisogno di maggiore sicurezza, controlla sempre l'impronta digitale del certificato da solo; non fidarsi mai di alcuna CA di terze parti per fare correttamente le proprie cose.

Mikko Rantalainen
fonte
3

Non proprio. La maggior parte dei venditori affidabili di certificati fa tutto l'elenco di controllo di classe 3. Un certificato EV è solo una versione extra approfondita degli stessi controlli e puoi fallire quei controlli per molte più ragioni di quelli "regolari".

sysadmin1138
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.