it-swarm-eu.dev

Sind alle SSL-Zertifikate gleich?

Nachdem ich einige Tests mit dem Tool Qualsys 'SSL Labs ausgeführt hatte, stellte ich fest, dass es zwischen einem GoDaddy- und einem VeriSign-Zertifikat, gegen die ich getestet habe, erhebliche Bewertungsunterschiede gab.

Sind alle SSL-Zertifikate von verschiedenen Anbietern gleich? Wenn nicht, worauf sollte man seine Entscheidung stützen? Derzeit glaube ich, dass die meisten Leute die Kosten gegen die Marke abwägen werden (d. H. GoDaddy ~ 70,00 USD gegenüber Verisign ~ 1.500,00 USD).

Ich habe das Gefühl, dass vieles davon auch davon abhängt, wie das SSL tatsächlich implementiert ist - wäre dies eine genauere Schlussfolgerung?

Zur Klarheit:

87
Kyle Rozendo

Haftungsausschluss: Diese Antwort stammt direkt aus dem eHow-Artikel . Kein Verstoß beabsichtigt.

SSL-Zertifikate zur Domänenvalidierung

Domain-validierte SSL-Zertifikate werden verwendet, um ein grundlegendes Vertrauensniveau für eine Website herzustellen und zu beweisen, dass Sie die Website besuchen, von der Sie glauben, dass Sie sie besuchen. Diese Zertifikate werden ausgestellt, nachdem der SSL-Aussteller bestätigt hat, dass die Domain gültig ist und der Person gehört, die das Zertifikat anfordert. Es ist nicht erforderlich, Unternehmensunterlagen einzureichen, um ein Domain Validation SSL-Zertifikat zu erhalten, und diese Arten von SSL-Zertifikaten können extrem schnell ausgestellt werden. Der Nachteil dieser Arten von Zertifikaten besteht darin, dass jeder sie erhalten kann und sie kein wirkliches Gewicht haben, außer um die Kommunikation zwischen Ihrem Webbrowser und dem Webserver zu sichern.

SSL-Zertifikate zur Organisationsvalidierung

Ein Organisationsvalidierungs-SSL-Zertifikat wird an Unternehmen ausgestellt und bietet ein höheres Maß an Sicherheit gegenüber einem Domänenvalidierungs-SSL-Zertifikat. Für ein Organisationsvalidierungszertifikat müssen einige Unternehmensinformationen zusammen mit Domänen- und Eigentümerinformationen überprüft werden. Der Vorteil dieses Zertifikats gegenüber einem Domain Validation-Zertifikat besteht darin, dass es nicht nur Daten verschlüsselt, sondern auch ein gewisses Maß an Vertrauen in das Unternehmen bietet, dem die Website gehört.

Erweiterte Validierungs-SSL-Zertifikate

Ein SSL-Zertifikat mit erweiterter Validierung ist ein SSL-Zertifikat der Spitzenklasse. Um eine zu erhalten, muss ein Unternehmen einen umfangreichen Überprüfungsprozess durchlaufen, und alle Details des Unternehmens müssen vor Ausstellung des Zertifikats als authentisch und legitim überprüft werden. Während dieses Zertifikat einem SSL-Zertifikat zur Organisationsvalidierung ähnelt, besteht der Hauptunterschied in der Überprüfung und Überprüfung, die für den Eigentümer der Domäne und das Unternehmen durchgeführt wird, das das Zertifikat beantragt. Nur ein Unternehmen, das eine gründliche Untersuchung besteht, darf das SSL-Zertifikat für die erweiterte Validierung verwenden. Diese Art von Zertifikat wird von modernen Browsern erkannt und durch einen farbigen Balken im URL-Bereich des Browsers angezeigt.

Darüber hinaus wirken sich OV und EV im Falle eines Kompromisses auch auf die Versicherungssummen aus. Die Versicherungsprämie für einen EV liegt viel höher als bei einem OV.

Lesen Sie mehr/Original: Mickey Walburg, Unterschiede in SSL-Zertifikaten | eHow.com

62
Lucas Kauffman

Es liegt letztendlich in der Verantwortung des Kundenbenutzers, die Gültigkeit des Zertifikats zu überprüfen. Als Dienstanbieter können Sie nicht nur den Benutzer schulen, wenn Sie können, sondern auch nicht viel auf Ihrer Seite tun: Sie steuern nicht, welchen Zertifikaten der Browser des Benutzers vertraut, und Sie können nicht wissen, ob die Benutzer sie überprüft haben Verwenden Sie SSL/TLS ordnungsgemäß und haben Sie mögliche Warnungen nicht ignoriert.

Sie müssen versuchen zu beurteilen, wie Ihr Benutzer reagieren und Ihr Zertifikat überprüfen wird. Ich gehe davon aus, dass die Zielgruppe für Ihre Website nicht unbedingt ein technischer oder PKI-Experte ist. Wie Ihre Benutzer reagieren werden, hängt davon ab, was sie über Zertifikate gelernt haben. Leider gibt es viele widersprüchliche oder vage Informationen zu diesem Thema, die sogar von CA selbst stammen (denken Sie daran, dass CAs ein begründetes Interesse daran haben, ihre Kunden dazu zu bringen, teurere Zertifikate zu kaufen).

Validierungsmodi

Der allgemeine Zweck eines Zertifikats (öffentlicher Schlüssel) besteht darin, eine Identität an einen öffentlichen Schlüssel zu binden (daher die Identität mit dem entsprechenden privaten Schlüssel im SSL/TLS-Handhsake an den Server zu binden).

Lucas Kauffman hat bereits eine Antwort geschrieben, in der der Unterschied zwischen domänenvalidierten Zertifikaten, organisationsvalidierten Zertifikaten und erweiterten Validierungszertifikaten beschrieben wird. Die eigentliche Frage, die Sie sich stellen müssen, ist , was Sie dem Benutzer beweisen möchten.

Der Unterschied zwischen diesen Arten von Zertifikaten besteht darin, wie diese Identität selbst definiert wird.

Die domänenvalidierten Zertifikate garantieren Ihnen, dass das Zertifikat an den Eigentümer dieser Domäne ausgestellt wurde. Nicht mehr, aber nicht weniger (ich gehe davon aus, dass das Validierungsverfahren hier korrekt war). In vielen Fällen ist dies ausreichend. Es hängt alles davon ab, ob die von Ihnen beworbene Website mit einer Institution verknüpft werden muss, die bereits offline bekannt ist. Zertifikate, die für eine Organisation validiert sind (OV- und EV-Zertifikate), sind hauptsächlich nützlich, wenn Sie die Domäne auch an eine physische Organisation binden müssen.

Zum Beispiel ist es für eine Institution, die ursprünglich über ihr Gebäude bekannt war (z. B. die Bank of America), nützlich zu sein, sagen zu können, dass ein Zertifikat für bankofamerica.com In der Tat für den Ort gilt, an dem Sie Ihr physisches Geld gegeben haben. In diesem Fall ist es sinnvoll, ein OV- oder EV-Zertifikat zu verwenden. Dies kann auch nützlich sein, wenn Unklarheiten darüber bestehen, welche Institution hinter dem Domainnamen steht (z. B. Apple.com Und Apple.co.uk), Was noch wichtiger ist, wenn der ähnliche Domainname einem Rivalen gehört/Angreifer, der den Namen Ähnlichkeit für schlechte Zwecke verwendet.

Im Gegensatz dazu definiert www.google.com Google für die Öffentlichkeit. Google muss nicht beweisen, dass google.com Zum echten Google gehört. Infolgedessen wird ein domänenvalidiertes Zertifikat verwendet (dasselbe gilt für Amazon.com).

Auch dies ist sehr nützlich, wenn der Benutzer weiß, wie dies zu überprüfen ist. Browser helfen hier nicht wirklich. Firefox sagt nur "was von (unbekannt) ausgeführt wird", wenn Sie weitere Details zum Zertifikat unter www.google.com Möchten, ohne wirklich zu sagen, was damit gemeint ist.

Zertifikate mit erweiterter Validierung sind ein Versuch, dies zu verbessern, indem das Verfahren zur Validierung der Organisation strenger gestaltet und das Ergebnis sichtbarer gemacht wird: grüner Balken und sichtbarere Organisation.

Leider wird dies manchmal so verwendet, dass die Verwirrung zunimmt, denke ich. Hier ist ein Beispiel, das Sie selbst überprüfen können: Eine der großen britischen Banken (NatWest) verwendet das https://www.nwolb.com/ für ihre Online-Bankdienstleistungen. Es ist alles andere als offensichtlich, dass der Domainname NatWest gehört (der übrigens auch den logischeren Namen natwest.co.uk Besitzt). Schlimmer noch, die erweiterte Validierung (wenn Sie den Namen neben dem grünen Balken überprüfen) erfolgt gegen "Royal Bank of Scotland Group plc":

(EV certificate look

Für diejenigen, die Finanznachrichten verfolgen, ist dies sinnvoll, da sowohl RBS als auch NatWest zur selben Gruppe gehören. Technisch gesehen sind RBS und NatWest jedoch Konkurrenten (und beide haben Niederlassungen auf der Hauptstraße in Großbritannien - obwohl sich dies ändern wird). Wenn Ihr Benutzer nicht über das zusätzliche Wissen verfügt, welche Gruppen unter welchem ​​Namen handeln, sollte die Tatsache, dass ein Zertifikat für den Namen eines potenziellen Konkurrenten ausgestellt wird, Alarmglocken läuten. Wenn Sie als Benutzer ein Zertifikat für gooooogle.com Gesehen haben, das an Microsoft oder Yahoo ausgestellt wurde, wie grün die Leiste auch sein mag, sollten Sie dies nicht als Google-Website behandeln.

Ein Punkt, den Sie bei EV-Zertifikaten beachten sollten, ist, dass ihre Konfiguration in den Browsern fest codiert ist. Dies ist eine Einstellung vom Typ Kompilierung, die später nicht konfiguriert werden kann (im Gegensatz zu normalen vertrauenswürdigen Zertifikatspeichern, in denen Sie beispielsweise Ihr eigenes institutionelles CA-Zertifikat hinzufügen können). Aus zynischerer Sicht könnten einige dies als eine bequeme Möglichkeit für die Hauptakteure betrachten, eine starke Position auf dem Markt zu halten.

Dichtungen

Einige Zertifizierungsstellen bieten auch verschiedene "Siegel" an, die Sie auf Ihrer Website platzieren können, normalerweise mit unterschiedlichen Farben, abhängig von der Art des von Ihnen erworbenen Zertifikats. Sie scheinen als zusätzlicher Schritt gedacht zu sein, um zu verhindern, dass weniger seriöse Zertifizierungsstellen ein gültiges Zertifikat an die falsche Partei ausstellen.

Soweit mir bekannt ist, sind diese aus Sicherheitsgründen völlig nutzlos. Wenn Sie darauf klicken, um Ihr Zertifikat überprüfen zu lassen (wenn Sie beispielsweise auf das Logo "Verifiziert ein sicheres" von GoDaddy klicken, gelangen Sie auf diese Seite ), nichts sagt Ihnen, dass das angezeigte Zertifikat mit dem übereinstimmt, das an den Dienst hinter seal.godaddy.com gesendet wurde. Wenn zwischen Ihnen und example.com Ein MITM-Angreifer mit einem anderen gültigen Zertifikat für example.com Von einer schlampigen Zertifizierungsstelle ausgestellt wäre, wäre dieser MITM-Angreifer nicht zwischen example.com Und seal.godaddy.com. Wenn der Benutzer das Zertifikat nicht wirklich im Detail betrachtet, würde das Siegel nicht viel helfen (wenn man bedenkt, dass der Angreifer die Siegelverbindung einfach entfernen oder auf das eine von der anderen Zertifizierungsstelle verweisen könnte).

Versicherungen

Einige Zertifikate sind auch mit einer Versicherung ausgestattet. Sie würden eine Entschädigung erhalten, falls während einer Transaktion bis zu einem begrenzten Betrag etwas schief geht. Mir ist nicht klar, unter welchen Bedingungen eine solche Versicherung beantragt werden kann.

Welches soll ich wählen?

Letztendlich behalten die meisten Benutzer die Standardliste der vertrauenswürdigen CA-Zertifikate bei, die mit ihrem Betriebssystem oder Browser gebündelt sind. Da die Benutzeroberfläche nicht sehr klar zwischen Zertifizierungsstellen unterscheidet, wird die Gesamtsicherheit des Benutzers (dessen Verantwortung es ist, das Zertifikat zu überprüfen) durch den kleinsten gemeinsamen Nenner in jeder Kategorie (blaue und grüne Balken) verringert.

Wenn es wichtig ist, den Domainnamen an eine "stationäre" Organisation zu binden, lohnt es sich, ein EV-Zertifikat in Betracht zu ziehen. Ich persönlich denke nicht, dass die Art und Weise, wie Benutzeroberflächen DV- und OV-Zertifikate unterscheiden, gut genug ist, um die Anzeige des Organisationsnamens mit einem blauen Balken nützlich zu machen.

Wenn Sie in erster Linie Ihrer Domain bekannt sind (oder wenn aus Sicht eines Benutzers überhaupt keine Unklarheit darüber besteht, dass die Domain Ihnen gehört), wählen Sie ein Zertifikat mit einem blauen Balken. (Überprüfen Sie die Versicherungsdetails, wenn dies für Ihre Website relevant ist.)

45
Bruno

Der wichtige Punkt ist, dass der (einzige) Zweck des SSL-Zertifikats darin besteht, die Identität des Servers zu überprüfen, mit dem Sie kommunizieren.

Alles über die Verschlüsselung und Sicherheit der Verbindung wird unabhängig vom Zertifikat zwischen Browser und Server ausgehandelt. Solange der im Zertifikat eingebettete Schlüssel groß genug und nicht gefährdet ist, ist Ihre Verbindung mit einem kostenlosen Zertifikat genauso sicher wie mit einem 2000-Dollar-Zertifikat.

Der Preis des Zertifikats spiegelt (oder zumindest sollte den Umfang der Überprüfung wider, die das ausstellende Unternehmen durchgeführt hat, um zu überprüfen, ob Sie dieses Zertifikat haben dürfen.

[~ # ~] edit [~ # ~]

Bei Zertifikaten geht es eher um Vertrauen als um Sicherheit. Es ist eine subtile Unterscheidung, aber eine wichtige. Ich bin mit einem selbstsignierten Zertifikat vollkommen sicher, solange ich den Schlüssel überprüfen kann. In diesem Fall bietet ein EV-Zertifikat für mich auch im geringsten keinen Schutz mehr. Aber was ist mit anderen Menschen? Ich weiß im Voraus, welchem ​​Schlüssel ich vertrauen soll, aber sie wissen es nicht. Das ist die Rolle einer Zertifizierungsstelle.

Bei allen öffentlich vertrauenswürdigen Zertifizierungsstellen müssen Sie den Besitz Ihrer Domain überprüfen, bevor Sie ein Zertifikat ausstellen. In diesem Sinne entspricht ein Verisign-Zertifikat im Wert von 2000 US-Dollar einem kostenlosen Startcom-Zertifikat. Aber das ist nur die halbe Wahrheit.

Erinnerst du dich an den merkwürdigen Fall der Mountain America Credit Union? Angreifer konnten sich als Bank ausgeben und ein SSL-Zertifikat von Equifax erhalten, ein offizielles Siegel des ausstellenden Unternehmens, einen ChoicePoint-Indikator, der den Standort (und die vermutete Legitimität) des Unternehmens bestätigt - alles absolut sauber, legitim und ordnungsgemäß ausgestellt. Ihr Geheimnis? Die Bank verwendet den Domainnamen macu.com, Während diese Angreifer den Namen mountain-america.net Verwendeten. Als sie das Zertifikat beantragten, sagten sie NICHT, dass sie eine Bank seien (die rote Fahnen gehisst hätte), sondern stellten eine völlig unschuldig aussehende Website auf. Es könnte für etwas wie Wanderschuhe oder Mineralwasser oder einen Blog über das Leben in den Bergen gewesen sein. Wer weiß. Sie haben es jedoch geändert, um die Website der Credit Union zu duplizieren, nachdem die Anmeldeinformationen ausgestellt wurden.

Theoretisch ist dies genau die Art von Angriff, gegen die sich die EV-Zertifizierung schützen soll. Es sollte viel schwieriger sein, ein EV-Zertifikat mit einer falschen Identität oder basierend auf einem nicht existierenden Unternehmen zu erhalten. Wahrscheinlich nicht unmöglich, aber theoretisch schwieriger. Wenn sich herausstellt, dass es sich um einen Betrug handelt, haben Sie zumindest die Adresse des Täters.

Die Sache ist, wenn Sie Vertrauen in großem Maßstab verkaufen, ist es schwierig, Ihr Produkt sauber zu halten. Verstöße wie das Fiasko von Mountain America treten trotz aller Überprüfungen und Untersuchungen auf, die Sie herbeiführen können, da der Benutzer nach Ausstellung des Zertifikats seine Geschichte ändern kann.

Möglicherweise ist das wichtigste Sicherheitsmerkmal eines 2000-Dollar-Zertifikats der Preis selbst. Es heißt: "Diese Person hat 2000 Dollar für dieses Zertifikat bezahlt". Vermutlich würde sich jemand, der es für das Böse einsetzen will, stattdessen für eine billigere Alternative entscheiden. Es ist ein bisschen albern, aber wahrscheinlich auch richtig.

21
tylerl

Hauptsächlich gibt es 3 Arten von SSL-Zertifikaten:

(1) Domain Validation SSL-Zertifikate

  • Es gibt ein weniger strenges Validierungsverfahren.
  • Nur der Name und die Kontaktinformationen des Antragstellers werden mit den Daten überprüft und verifiziert, die bei der Registrierung eingegeben wurden.
  • Der legitime Faktor wird nicht überprüft. Daher eignet er sich hervorragend für Online-Sites oder Unternehmen, die keine sehr sensiblen Daten übertragen oder verarbeiten.
  • Es ist direkt an den Domainnamen gebunden und sichert den Benutzern somit die Echtheit der Website. Browser-Warnungen werden jedoch nicht empfohlen.

(2) Erweitertes Validierungs-SSL-Zertifikat

  • Es wurde 2007 eingeführt und ist eines der ersten Protokolle, das die Branchenrichtlinien strikt befolgt.
  • Der Zertifizierungsantrag und der Validierungsprozess sind äußerst streng.
  • Jeder Geschäftsnachweis wird sorgfältig und genau überprüft.
  • Bei Sites, die dieses Protokoll verwenden, können Sie sicherstellen, ob die Site geschützt ist oder nicht, indem Sie das Navigationsfenster des Browsers überprüfen. Es wird grün, wenn der Standort sicher ist, und rot, wenn die Gefahr einsetzt.
  • Es hilft bei der Aufrechterhaltung eines hohen Sicherheitsstandards und überprüft die Authentizität des Geschäfts.

(3) SSL-Zertifikat zur organisatorischen Validierung

  • Die Rechtmäßigkeit des Geschäfts des Antragstellers wird überprüft.
  • Es folgt einem strengen Validierungsverfahren und überprüft praktisch alle Informationen des Unternehmens.
  • Es ist eine hervorragende Option für Online-Unternehmen, die mit äußerst vertraulichen Informationen umgehen.

(Quelle: Buzzle )

3
CheapestSSLs

Diese Debatte hat zwei Seiten.

Erstens, wie weit eine Zertifizierungsstelle gehen wird, um sicherzustellen, dass Sie tatsächlich der sind, für den Sie sich ausgeben.

Zweitens, wie viele der erweiterten Funktionen eine Zertifizierungsstelle unterstützt.

Beides ist wichtig ... eine Zertifizierungsstelle, die Ihnen ein Zertifikat mit den neuesten Funktionen ausstellt, aber nicht überprüft, ob Ihre ID nutzlos ist, ebenso wie eine Zertifizierungsstelle, die Sie gut überprüft, aber nur ein Zertifikat mit Funktionen ausstellt, die vor 5 Jahren veraltet waren.

0
Mr. C