Certyfikat SSL klasa 2 vs klasa 3 vs klasa 4

20

Właśnie dostałem „Premium EV SSL Certificate” z GoDaddy.com. Najwyraźniej 8 miesięcy temu GoDaddy nie zapewnia certyfikatów klasy 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Wspominali także o użyciu certyfikatów:

Klasa 1 dla osób fizycznych, przeznaczona do wiadomości e-mail.

Klasa 2 dla organizacji, dla których wymagany jest dowód tożsamości.

Klasa 3 do podpisywania serwerów i oprogramowania, dla których niezależna weryfikacja i kontrola tożsamości i uprawnień jest przeprowadzana przez wydający urząd certyfikacji.

Klasa 4 do transakcji biznesowych online między firmami.

Klasa 5 dla organizacji prywatnych lub bezpieczeństwa rządowego

  1. Czy walidacja certyfikatu EV nie jest tym samym, co walidacja klasy 3? Dlaczego certyfikaty EV to nie tylko klasa 3?
  2. Czy ludzie używają certyfikatów klasy 4? Technicznie używamy naszego certyfikatu do mydła B do B. Która należałaby do klasy 4. Czy klasa 4 jest naprawdę potrzebna?
  3. Gdzie jest lista urzędów certyfikacji i wydawanych przez nie certyfikatów?
  4. Skoro sprowadza się to do szyfrowania, czy istnieje jakaś znacząca różnica między certyfikatami, poza walidacją, która mówi, że jesteś tym, kim jesteś?
  5. Co decyduje o tym, czy urząd certyfikacji może wydać certyfikaty klasy 2 w porównaniu z klasą 3 i klasą 4?

Dzięki!

po prostu
źródło

Odpowiedzi:

17

Marketingowy szum (i koszty). To nie jest część specyfikacji. To jest z Wikipedii:

http://en.wikipedia.org/wiki/Public_key_certificate

Klasy zdefiniowane przez dostawcę

VeriSign korzysta z koncepcji klas dla różnych typów certyfikatów cyfrowych [3]:

  • Klasa 1 dla osób fizycznych, przeznaczona do wiadomości e-mail.
  • Klasa 2 dla organizacji, dla których wymagany jest dowód tożsamości.
  • Klasa 3 do podpisywania serwerów i oprogramowania, dla których niezależna weryfikacja i kontrola tożsamości i uprawnień jest przeprowadzana przez wydający urząd certyfikacji.
  • Klasa 4 do transakcji biznesowych online między firmami.
  • Klasa 5 dla organizacji prywatnych lub bezpieczeństwa rządowego.

Inni dostawcy mogą zdecydować się na użycie różnych klas lub wcale, ponieważ nie jest to określone w protokole SSL, jednak większość decyduje się na użycie klas w jakiejś formie.

To jest nowe (ish). Kiedyś faktycznie weryfikowali wszystkie prośby, aby upewnić się, że jesteś tym, za kogo się podajesz. To poszło na marne, więc możesz uzyskać certyfikat w ciągu kilku minut zamiast kilku dni.

kls
źródło
Dlaczego więc GoDaddy jest „urzędem certyfikacji Go Daddy Class 2”? Czy istnieją klasy urzędów certyfikacji?
jneff
8
@jneff: GoDaddy ma ośrodek CA, który nazywa „GoDaddy Class 2 Certification Authority”. Mogą nazwać swoje wewnętrzne urzędy certyfikacji według własnego uznania. Mogą nazywać to „GoDaddy Class Asparagus CA”, jeśli chcą.
David Schwartz
5

Każda wartość „Klasy certyfikatów” ma charakter wyłącznie marketingowy. Z technicznego punktu widzenia „Urząd certyfikacji” (CA) to zwykły certyfikat SSL / TLS we wstępnie zainstalowanym magazynie certyfikatów w przeglądarce, z wyjątkiem faktu, że te certyfikaty nie zawierają flagi dodatkowego rozszerzenia, która jest osadzona w prawie każdym normalnym certyfikacie:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Technicznie każdy urząd certyfikacji w magazynie certyfikatów przeglądarki może utworzyć dodatkowe certyfikaty urzędu certyfikacji, nie włączając tego rozszerzenia do podpisywanego certyfikatu i tylko zasady urzędu certyfikacji mogą tego uniknąć. Certyfikat Extended Verification (EV) to tylko dodatkowa flaga rozszerzenia

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Zwróć uwagę na status „Niekrytyczny”; każde oprogramowanie może zignorować te rzeczy. Jedyną rzeczą, która uniemożliwia urzędowi certyfikacji dodanie tej flagi do każdego certyfikatu, który podpisują, jest ich własna polityka. Poza tym to tylko kilka bajtów dodanych do pliku certyfikatu przed podpisaniem certyfikatu.

Zasadniczo więc wszystko sprowadza się do zabezpieczenia odpowiadającego najsłabszemu urzędowi certyfikacji, jaki kiedykolwiek został zaakceptowany w przeglądarkach. „Klasa certyfikatu” istnieje technicznie tylko wewnątrz widocznej etykiety użytkownika CA, więc nie ma żadnej różnicy w prawdziwym bezpieczeństwie. Ponieważ wszystkie urzędy certyfikacji są technicznie takie same, nie ma prawie żadnej różnicy, czy faktycznie egzekwowane zasady jednego urzędu są rozsądne - dzieje się tak, ponieważ potencjalny atakujący może zawsze użyć innego urzędu certyfikacji, aby uzyskać jego fałszywy certyfikat.

Gorąco polecam oglądanie przemówienia Moxie Marlinspike pt. „SSL i przyszłość autentyczności” wygłoszonego w Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . pomaga zrozumieć, dlaczego obecny system CA jest bardzo słaby.

Zalecam zakup dowolnego certyfikatu, który otrzyma domyślne ostrzeżenia, aby ucichły w oprogramowaniu klienta. Jeśli chcesz ładniejszej odznaki w interfejsie przeglądarki, kup dowolny certyfikat EV. Jeśli i kiedy potrzebujesz większego bezpieczeństwa, zawsze sprawdź sam odcisk palca certyfikatu; nigdy nie ufaj żadnemu zewnętrznemu urzędowi certyfikacji, że wykona swoje czynności prawidłowo.

Mikko Rantalainen
źródło
3

Nie do końca. Najbardziej renomowani sprzedawcy certyfikatów wykonują całą listę kontrolną klasy 3. Certyfikat EV jest po prostu bardzo dokładną wersją tych samych czeków i możesz ich nie zaliczyć z wielu innych powodów niż „zwykłe”.

sysadmin1138
źródło