it-swarm-eu.dev

Jsou všechny certifikáty SSL stejné?

Po provedení několika testů z nástroje Qualsys 'SSL Labs jsem viděl, že mezi certifikáty GoDaddy a VeriSign, s nimiž jsem testoval, došlo k poměrně významným rozdílům v hodnocení.

Jsou všechny certifikáty SSL od různých poskytovatelů stejné? Pokud ne, na čem by měl člověk založit své rozhodnutí? V současné době věřím, že většina lidí bude zvažovat náklady oproti značce (tj .: GoDaddy ~ 70,00 $ vs. Verisign ~ 1 500,00 $).

Mám pocit z toho, co jsem viděl, že hodně z toho také závisí na tom, jak je SSL skutečně implementován - byl by to přesnější závěr?

Pro přehlednost:

87
Kyle Rozendo

Zřeknutí se odpovědnosti: Tato odpověď pochází přímo z článek eHow . Nebylo zamýšleno žádné porušení.

Certifikáty SSL pro ověření domény

Certifikáty SSL ověřené doménou se používají k vytvoření základní úrovně důvěryhodnosti s webem a prokazování, že navštěvujete web, o kterém si myslíte, že navštěvujete. Tyto certifikáty jsou vydávány poté, co vydavatel SSL potvrdí, že doména je platná a je vlastněna osobou, která požaduje certifikát. K získání certifikátu SSL pro ověření domény není třeba předkládat žádné doklady společnosti a tyto typy certifikátů SSL lze vydávat velmi rychle. Nevýhodou těchto typů certifikátů je to, že je může získat kdokoli, a nemají žádnou skutečnou váhu, kromě bezpečné komunikace mezi webovým prohlížečem a webovým serverem.

Certifikáty SSL pro ověření organizace

Společnosti je vydán certifikát SSL pro ověření organizace a poskytuje vyšší úroveň zabezpečení prostřednictvím certifikátu SSL pro ověření domény. Certifikát ověření organizace vyžaduje, aby byly některé informace o společnosti ověřeny spolu s informacemi o doméně a vlastníkovi. Výhodou tohoto certifikátu oproti certifikátu ověření domény je to, že nejen šifruje data, ale také poskytuje určitou úroveň důvěry o společnosti, která web vlastní.

Certifikáty SSL s rozšířenou validací

Certifikát SSL s rozšířeným ověřením je certifikát SSL „v horní části řádku“. Získání jednoho vyžaduje, aby společnost prošla náročným prověrkovým procesem a všechny podrobnosti o společnosti musí být před vydáním certifikátu ověřeny jako autentické a legitimní. Přestože se tento certifikát může zdát podobný certifikátu SSL pro ověření organizace, klíčovým rozdílem je úroveň prověrky a ověření, která se provádí u vlastníka domény a společnosti, která o certifikát žádá. Certifikát společnosti Extended Validation SSL může používat pouze společnost, která prochází důkladným vyšetřováním. Tento typ certifikátu je rozpoznán moderními prohlížeči a je označen barevným pruhem v části URL prohlížeče.

V případě kompromisu mají navíc OV oproti EV dopad na výši pojistného. Pojistné za EV je mnohem vyšší než u OV.

Číst více/originál: Mickey Walburg, Rozdíly v SSL certifikátech | eHow.com

62
Lucas Kauffman

Za ověření platnosti certifikátu je v konečném důsledku odpovědný uživatel klienta. Jako poskytovatel služeb, kromě toho, že vzděláváte uživatele, pokud je to možné, není na vaší straně toho mnoho, co byste mohli udělat: nekontrolujete, které certifikáty jsou v prohlížeči uživatele důvěryhodné, a nemůžete vědět, zda je uživatelé ověřili správným používáním SSL/TLS a nezohlednila možná varování.

Musíte se pokusit posoudit, jak váš uživatel bude reagovat a zkontrolovat váš certifikát. Předpokládám, že cílové publikum pro váš web nemusí být nutně odborník nebo odborník na PKI. Způsob, jakým budou vaši uživatelé reagovat, bude záviset na tom, co se dozvěděli o certifikátech. Bohužel existuje spousta protichůdných nebo nejasných informací o tomto tématu, které přicházejí dokonce od samotných certifikačních autorit (pamatujte, že certifikační autority mají zásadní zájem na tom, aby zákazníci chtěli koupit dražší certifikáty).

Režimy ověření

Obecným účelem certifikátu (veřejného klíče) je svázat identitu s veřejným klíčem (tedy navázat identitu na server pomocí odpovídajícího soukromého klíče v handhsake SSL/TLS).

Lucas Kauffman již napsal odpověď podrobně uvádějící rozdíl mezi certy validovanými v doméně, Certs-validated organizace a Certs s rozšířenou validací. Skutečnou otázkou, kterou si musíte položit, je co , které se snažíte uživateli ukázat.

Rozdíl mezi těmito typy certifikátů je v tom, jak je tato identita sama definována.

Certifikáty ověřené doménou vám zaručují, že certifikát byl vydán vlastníkovi této domény. Nic víc, ale nic méně (předpokládám, že validační postup zde byl správný). V mnoha případech to stačí. Vše záleží na tom, zda web, který propagujete, musí být propojen s institucí, která je již dobře známa off-line. Certifikáty, které jsou validovány proti organizaci (OV a EV certs), jsou užitečné zejména v případě, že potřebujete doménu také svázat s fyzickou organizací.

Například je užitečné, aby instituce, která byla původně známá prostřednictvím své budovy (např. Bank of America), mohla říci, že certifikát pro bankofamerica.com Je skutečně místem, kde jste dali své fyzické peníze. V tomto případě má smysl použít certifikát OV nebo EV. To může být také užitečné, existuje dvojznačnost ohledně toho, která instituce je za názvem domény (např. Apple.com A Apple.co.uk)), Což je ještě důležitější, pokud je podobné doménové jméno vlastněno soupeřem/útočník používající podobnost názvu pro špatné účely.

Naproti tomu www.google.com je to, co definuje Google pro veřejnost; Google nemusí dokazovat, že google.com Patří ke skutečné Google. Výsledkem je, že používá certifikát ověřený doménou (stejný pro Amazon.com).

To je opět užitečné, pokud uživatel ví, jak to zkontrolovat. Prohlížeče zde opravdu nepomáhají. Firefox pouze říká „který je spuštěn (neznámý)“, pokud chcete získat více podrobností o cert na www.google.com, Aniž byste skutečně řekli, co se tím myslí.

Certifikáty s rozšířenou validací jsou pokusem o zlepšení, a to zpřísněním postupu validace organizace a zviditelněním výsledku: zelený pruh a viditelnější organizace.

Bohužel se to někdy používá způsobem, který zvyšuje zmatek, myslím. Zde je příklad, který si můžete zkontrolovat sami: jedna z velkých britských bank (NatWest) používá pro své on-line bankovní služby https://www.nwolb.com/ . Není jasné, že doménové jméno patří NatWestu (který mimochodem také vlastní logičtější natwest.co.uk). Horší je, že rozšířená validace (pokud zaškrtnete název vedle zeleného pruhu) se provede proti „Royal Bank of Scotland Group plc“:

EV certificate look

Pro ty, kteří sledují finanční zprávy, to dává smysl, protože jak RBS, tak NatWest patří do stejné skupiny, ale technicky jsou RBS a NatWest konkurenty (a oba mají pobočky na hlavní ulici ve Velké Británii - i když se to změní). Pokud váš uživatel nemá takovou zvláštní znalost o tom, které skupiny obchodují pod tímto jménem, ​​měla by výstražná zvonit zazvonit skutečnost, že certifikát je vydán na jméno potenciálního konkurenta. Pokud jste jako uživatel viděli certifikát na gooooogle.com Vydaný společnosti Microsoft nebo Yahoo, i když je tato lišta zelená, neměli byste to považovat za web společnosti Google.

Jedním bodem, který je třeba mít na paměti u certifikátů EV, je to, že jejich konfigurace je pevně zakódována do prohlížečů. Toto je nastavení typu kompilace, které nelze později nakonfigurovat (na rozdíl od běžných důvěryhodných úložišť certifikátů, do kterých můžete přidat například vlastní institucionální certifikační ÚŘAD). Z cyničtějšího hlediska by to někteří mohli považovat za vhodný způsob, jak si hlavní hráči udržet silnou pozici na trhu.

Těsnění

Některé certifikační autority také nabízejí různé „pečeti“, které můžete umístit na svůj web, obvykle v různých barvách v závislosti na typu zakoupeného certifikátu. Zdá se, že jsou zamýšleny jako další krok k zabránění méně renomovaným certifikačním úřadům vydávat platný certifikát nesprávné straně.

Pokud vím, jsou z bezpečnostního hlediska zcela zbytečné. Opravdu, když na něj kliknete, aby byl váš certifikát ověřen (například pokud kliknete na logo GoDaddy „ověřené zabezpečené“, skončíte na této stránce ), nic vám neříká, že certifikát, který vidíte, je stejný jako ten, který je odeslán do služby za seal.godaddy.com. Pokud by mezi vámi a example.com Existoval útočník MITM, s jiným platným certifikátem pro example.com Vydaným nedbalým CA, nebyl by útočník MITM mezi example.com A seal.godaddy.com. Pokud se uživatel opravdu nedívá na certifikát podrobně, pečeť by moc nepomohla (s ohledem na to, že útočník mohl jednoduše odstranit pečeťový odkaz nebo na ni odkazovat od jiného CA).

Pojištění

Některé certifikáty také přicházejí s nějakým druhem pojištění. Dostali byste nějakou kompenzaci, pokud by se během transakce něco pokazilo, až do omezené částky. Není mi jasné, jaké jsou podmínky pro uplatnění takového pojištění.

Který z nich si vybrat?

Na konci dne si většina uživatelů ponechá výchozí seznam důvěryhodných certifikátů CA, které jsou spojeny s jejich OS nebo prohlížečem. Protože uživatelské rozhraní nerozlišuje mezi CA velmi jasně, celkovou bezpečnost, jak jej vidí uživatel (jehož odpovědností je kontrola certifikátu), bude snížen nejnižším společným jmenovatelem v každé kategorii (modré a zelené pruhy).

Pokud je důležité svázat doménové jméno s organizací „cihel a malty“, vyplatí se zvážit certifikát EV. Osobně si nemyslím, že způsob, jakým UI rozlišují DV a OV, je dost dobrý na to, aby bylo zobrazení názvu organizace s modrým pruhem užitečné.

Pokud je vaše doména primárně známa (nebo pokud neexistuje žádná nejasnost, že je doména vaše, z pohledu uživatele), jděte na certifikát s modrou lištou. (Zkontrolujte podrobnosti o pojištění, pokud je to relevantní pro váš web.)

45
Bruno

Důležité je, že (pouze) účelem SSL certifikátu je ověření identity serveru, se kterým komunikujete.

Vše o šifrování a zabezpečení připojení je dohodnuto mezi prohlížečem a serverem nezávisle na certifikátu. Dokud je klíč vložený do certifikátu dostatečně velký a není ohrožen, vaše připojení je stejně bezpečné pomocí bezplatného certifikátu jako u certifikátu 2000 $.

Cena certifikátu odráží (nebo alespoň měla odráží) částku prověrky vydávající společnosti, aby ověřila, že byste měli mít povolení mít tento certifikát.

[~ # ~] upravit [~ # ~]

Certifikáty jsou spíše o důvěře než o zabezpečení. Je to jemné rozlišení, ale důležité. Dokážu ověřit klíč, jsem dokonale zabezpečený certifikátem s vlastním podpisem. V takovém případě mi certifikát EV neposkytuje absolutně žádnou ochranu ani v nejmenším stupni. Ale co ostatní? Vím, v předstihu, který klíč k důvěře, ale ne. To je role CA.

Všechny veřejně důvěryhodné certifikační autority vyžadují, abyste před vydáním certifikátu ověřili vlastnictví své domény, takže v tomto smyslu se certifikát Verisign v hodnotě 2 000 USD rovná bezplatnému certifikátu Startcom. Ale to je jen polovina příběhu.

Pamatujete zvláštní případ Mountain America Credit Union? Útočníci dokázali představovat jako banku a získat certifikát SSL od společnosti Equifax, oficiální pečeť od vydávající společnosti, indikátor ChoicePoint ověřující umístění (a předpokládanou legitimitu) společnosti - vše zcela čisté, legitimní a řádně vydané. Jejich tajemství? Banka používá doménové jméno macu.com, zatímco tito útočníci použili jméno mountain-america.net. Když požádali o certifikát, NEZNAMENALI, že jsou bankou (která by zvedla červené vlajky), ale místo toho postavila zcela nevinné stránky. Mohlo to být pro něco jako turistické boty, balená voda nebo blog o životě v horách. Kdo ví. Po vydání pověřovacích údajů ji však změnili, aby duplikovali web Credit Union.

Teoreticky je to přesně ten druh útoku, proti kterému má certifikace EV chránit. Získat certifikát EV pomocí falešné identity nebo založeného na neexistující společnosti by mělo být mnohem těžší. Pravděpodobně ne nemožné, ale teoreticky obtížnější. Takže pokud se ukáže, že se jedná o podvod, máte alespoň adresu pachatele ... nebo tak doufáte.

Jde o to, že pokud prodáváte důvěru ve velkém měřítku, je obtížné udržet váš produkt v čistotě. Porušení, jako je fiasko Mountain America, se stane, dokonce i se všemi prověrkami a zkouškami, které můžete svolat, protože jakmile je certifikát vydán, uživatel může změnit svůj příběh.

Nejdůležitějším bezpečnostním prvkem certifikátu $ 2000 je samotná cena. Říká: „tato osoba za tento certifikát zaplatila 2 000 $“. Pravděpodobně by někdo, kdo to chce použít pro zlo, vybral místo toho levnější alternativu. Je to trochu hloupé, ale pravděpodobně také správné.

21
tylerl

Hlavně existují 3 typy SSL certifikátů:

(1) SSL certifikáty ověření domény

  • Má méně přísný postup validace.
  • Pouze údaje o žadateli a kontaktní údaje jsou kontrolovány a ověřovány pomocí údajů, které byly zadány při registraci.
  • Legitimní faktor se nekontroluje, a proto je to vynikající pro online weby nebo podniky, které nepřenášejí ani nezacházejí s velmi citlivými údaji.
  • Je vázána přímo na doménové jméno, čímž zajišťuje uživatelům autentičnost webové stránky; nepodporuje však varování prohlížeče.

(2) SSL ověřovací certifikát s prodlouženou platností

  • Byl zahájen v roce 2007 a je jedním z prvních protokolů, které přísně dodržují pokyny odvětví.
  • Proces žádosti o certifikaci a ověřování je velmi přísný.
  • Každý obchodní pověření je pečlivě a podrobně ověřeno.
  • U webů používajících tento protokol je možné zajistit, zda je web chráněn nebo ne, kontrola navigačního okna prohlížeče. Pokud je stránka bezpečná, změní se na zelenou a na začátku nebezpečí zčervená.
  • Pomáhá udržovat vysoký standard jistoty a ověřuje pravost firmy.

(3) SSL certifikace organizace

  • Ověřuje se legitimita podnikání žadatele.
  • Dodržuje přísný validační postup a prakticky ověřuje všechny informace o firmě.
  • Je to vynikající volba pro online podniky, které se zabývají mimořádně důvěrnými informacemi.

(Zdroj: Buzzle )

3
CheapestSSLs

Tato debata má dvě strany.

Zaprvé je to, jak daleko CA půjde, aby zajistil, že jste skutečně tím, kým prohlašujete, že jste.

Za druhé, kolik pokročilejších funkcí CA podporuje.

Obě jsou důležité ... certifikační autorita, která vám poskytne certifikát se všemi nejnovějšími funkcemi, ale nebude zkontrolovat vaše ID, je zbytečné, jako je ten, kdo vás zkontroluje dobře, ale pouze vydá certifikát s funkcemi, které byly před 5 lety zastaralé.

0
Mr. C