SSL Certificate Class 2 กับ Class 3 เทียบกับ Class 4


20

ฉันเพิ่งได้รับ "ใบรับรอง EV SSL ระดับพรีเมียม" จากแบบฟอร์ม GoDaddy.com เห็นได้ชัดว่าเมื่อ 8 เดือนที่แล้ว GoDaddy ไม่มีใบรับรอง Class 3 ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) พวกเขายังใช้วิธีการรับรองใบรับรองเพื่อ:

คลาส 1 สำหรับบุคคลทั่วไปสำหรับอีเมล

Class 2 สำหรับองค์กรที่ต้องการพิสูจน์ตัวตน

คลาส 3 สำหรับเซิร์ฟเวอร์และการลงนามซอฟต์แวร์ซึ่งการตรวจสอบอิสระและการตรวจสอบเอกลักษณ์และอำนาจดำเนินการโดยหน่วยงานผู้ออกใบรับรอง

Class 4 สำหรับธุรกรรมทางธุรกิจออนไลน์ระหว่าง บริษัท

Class 5 สำหรับองค์กรเอกชนหรือความมั่นคงของรัฐ

  1. การตรวจสอบความถูกต้องของใบรับรอง EV ไม่เหมือนกับการตรวจสอบ Class 3 ใช่หรือไม่ เหตุใดใบรับรอง EV จึงไม่เพียงแค่คลาส 3
  2. ผู้คนใช้ใบรับรองระดับ 4 หรือไม่ ในทางเทคนิคเราใช้ใบรับรองของเราสำหรับ B ถึง B สบู่ ซึ่งจะอยู่ภายใต้ Class 4 จำเป็นต้องใช้คลาส 4 จริงหรือไม่
  3. รายการของ CA และใบรับรองที่ออกนั้นอยู่ที่ไหน
  4. เนื่องจากจะทำให้การเข้ารหัสมีความแตกต่างที่สำคัญระหว่างใบรับรองนอกเหนือจากการตรวจสอบความถูกต้องที่คุณบอกว่าคุณเป็นใคร
  5. อะไรเป็นตัวกำหนดว่า CA สามารถแจกใบรับรอง Class 2 กับ Class 3 และ Class4 ได้อย่างไร

ขอบคุณ!

คำตอบ:


17

hype การตลาด (และต้นทุน) นี่ไม่ใช่ส่วนหนึ่งของข้อมูลจำเพาะ มาจาก Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

คลาสที่ผู้ขายกำหนด

VeriSign ใช้แนวคิดของคลาสสำหรับใบรับรองดิจิทัลประเภทต่าง ๆ [3]:

  • คลาส 1 สำหรับบุคคลทั่วไปสำหรับอีเมล
  • Class 2 สำหรับองค์กรที่ต้องการพิสูจน์ตัวตน
  • คลาส 3 สำหรับเซิร์ฟเวอร์และการลงนามซอฟต์แวร์ซึ่งการตรวจสอบอิสระและการตรวจสอบเอกลักษณ์และอำนาจดำเนินการโดยหน่วยงานผู้ออกใบรับรอง
  • Class 4 สำหรับธุรกรรมทางธุรกิจออนไลน์ระหว่าง บริษัท
  • Class 5 สำหรับองค์กรเอกชนหรือความมั่นคงของรัฐ

ผู้ค้ารายอื่นอาจเลือกที่จะใช้คลาสที่แตกต่างกันหรือไม่มีคลาสเลยเนื่องจากนี่ไม่ได้ระบุไว้ในโปรโตคอล SSL แต่ส่วนใหญ่เลือกที่จะใช้คลาสในบางรูปแบบ

นี่คือใหม่ (ish) พวกเขาเคยยืนยันคำขอทั้งหมดเพื่อให้แน่ใจว่าคุณเป็นคนที่คุณพูดว่าคุณเป็น สิ่งนี้ผ่านไปแล้วเพื่อให้คุณสามารถรับใบรับรองในไม่กี่นาทีแทนที่จะเป็นสองสามวัน


เหตุใด GoDaddy จึงเป็น "ผู้ออกใบรับรองระดับ 2 ของ Go Daddy" มีคลาสของผู้ออกใบรับรองหรือไม่
jneff

8
@jneff: GoDaddy มี CA ที่เรียกว่า "GoDaddy Class 2 Certification Authority" พวกเขาสามารถตั้งชื่อ CA ภายในอะไรก็ได้ที่พวกเขาต้องการ พวกเขาสามารถเรียกมันว่า "GoDaddy Class Asparagus CA" หากพวกเขาต้องการ
David Schwartz

5

ค่า "ระดับประกาศนียบัตร" ใด ๆ คือสิ่งที่หมดจดทางการตลาด ในทางเทคนิค "ผู้ออกใบรับรอง" (CA) เป็นเพียงใบรับรอง SSL / TLS ปกติในที่เก็บใบรับรองที่ติดตั้งไว้ล่วงหน้าของเบราว์เซอร์ยกเว้นข้อเท็จจริงที่ว่าใบรับรองเหล่านี้ไม่มีการตั้งค่าสถานะส่วนขยายพิเศษที่ฝังอยู่ภายในใบรับรองปกติทุกใบ

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

ในทางเทคนิคแล้ว CA ใด ๆ ในที่เก็บใบรับรองของเบราว์เซอร์ของคุณสามารถสร้างใบรับรอง CA เพิ่มเติมได้เพียงแค่ไม่รวมส่วนขยายนี้ในใบรับรองที่ลงชื่อและมีเพียงนโยบาย CA เท่านั้นที่สามารถหลีกเลี่ยงได้ และใบรับรองการตรวจสอบเพิ่มเติม (EV) เป็นเพียงส่วนขยายเพิ่มเติมที่ระบุว่า

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

สังเกตเห็นสถานะ "ไม่สำคัญ" ซอฟต์แวร์ใด ๆ สามารถละเว้นสิ่งนี้ได้ฟรี สิ่งเดียวที่ป้องกันไม่ให้ CA เพิ่มการตั้งค่าสถานะนี้ลงในใบรับรองทุกใบที่ลงนามเป็นนโยบายของตนเอง นอกจากนั้นมีเพียงสองสามไบต์ที่ถูกเพิ่มลงในไฟล์ใบรับรองก่อนที่จะเซ็นชื่อใบรับรอง

โดยพื้นฐานแล้วสิ่งนี้ทำให้ความปลอดภัยที่ตรงกับจุดอ่อนที่สุดที่เคยได้รับการยอมรับในเบราว์เซอร์ "คลาสของใบรับรอง" มีอยู่ในทางเทคนิคเฉพาะภายในป้ายกำกับ CA ที่ผู้ใช้มองเห็นได้ดังนั้นจึงไม่มีความแตกต่างในโลกแห่งความปลอดภัย เนื่องจาก CA ทั้งหมดนั้นมีเทคนิคเหมือนกันจึงสร้างความแตกต่างเกือบเป็นศูนย์ถ้านโยบายบังคับใช้จริงของ CA เดียวมีเหตุผลจริง - นี่เป็นเพราะผู้โจมตีที่มีศักยภาพสามารถใช้ CA อื่นเพื่อรับใบรับรองปลอมของเขา

ฉันขอแนะนำให้ดูการพูดคุยโดยMoxie Marlinspikeเรียกว่า "SSL และอนาคตของแท้" ให้ใน Black Hat สหรัฐอเมริกา 2011 http://www.youtube.com/watch?v=Z7Wl2FW2TcA ช่วยให้คุณเข้าใจว่าทำไมระบบ CA ปัจจุบันจึงอ่อนแอมาก

ฉันขอแนะนำให้ซื้อใบรับรองใด ๆที่ได้รับคำเตือนเริ่มต้นเพื่อให้เงียบในซอฟต์แวร์ไคลเอ็นต์ของคุณ หากคุณต้องการตราสัญลักษณ์ที่ดีกว่าใน UI ของเบราว์เซอร์ให้ซื้อใบรับรอง EV ใด ๆ หากและเมื่อคุณต้องการความปลอดภัยเพิ่มเติมให้ตรวจสอบลายนิ้วมือด้วยตัวเองเสมอ อย่าเชื่อใจCA บุคคลที่สามใด ๆที่จะทำสิ่งที่ถูกต้อง


3

ไม่มาก ผู้จำหน่ายใบรับรองที่มีชื่อเสียงส่วนใหญ่ทำรายการตรวจสอบ Class 3 ทั้งหมด ใบรับรอง EV เป็นเพียงการตรวจสอบเดียวกันอย่างละเอียดเพิ่มเติมและคุณสามารถตรวจสอบเหล่านั้นได้ด้วยเหตุผลหลายประการ

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.