web-dev-qa-db-fra.com

Certificat SSL Classe 2 vs Classe 3 vs Classe 4

Je viens de recevoir un formulaire "Certificat SSL EV Premium" GoDaddy.com. Apparemment, il y a 8 mois, GoDaddy ne fournit pas de certificats de classe 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Ils ont également mentionné l'utilisation de certificats à :

Classe 1 pour les particuliers, destinée au courrier électronique.

Classe 2 pour les organisations, pour lesquelles une preuve d'identité est requise.

Classe 3 pour les serveurs et la signature de logiciels, pour laquelle une vérification et une vérification indépendantes de l'identité et de l'autorité sont effectuées par l'autorité de certification émettrice.

Classe 4 pour les transactions commerciales en ligne entre entreprises.

Classe 5 pour les organisations privées ou la sécurité gouvernementale

  1. La validation d'un certificat EV n'est-elle pas la même qu'une validation de classe 3? Pourquoi les certificats EV ne sont-ils pas uniquement de classe 3?
  2. Les gens utilisent-ils des certificats de classe 4? Techniquement, nous utilisons notre certificat pour un savon B to B. Qui relèverait de la classe 4. Une classe 4 est-elle vraiment nécessaire?
  3. Où se trouve la liste des autorités de certification et des certificats qu'elles émettent?
  4. Puisqu'il se résume au chiffrement, y a-t-il une différence majeure entre les certificats en plus de la validation que vous dites que vous êtes qui vous êtes?
  5. Qu'est-ce qui détermine si une autorité de certification peut délivrer des certificats de classe 2, de classe 3 et de classe 4?

Merci!

ssl-certificateencryption
20
jneff

Battage publicitaire (et coût). Cela ne fait pas partie de la spécification. C'est de Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Classes définies par le fournisseur

VeriSign utilise le concept de classes pour différents types de certificats numériques [3]:

  • Classe 1 pour les particuliers, destinée au courrier électronique.
  • Classe 2 pour les organisations, pour lesquelles une preuve d'identité est requise.
  • Classe 3 pour les serveurs et la signature de logiciels, pour laquelle une vérification et une vérification indépendantes de l'identité et de l'autorité sont effectuées par l'autorité de certification émettrice.
  • Classe 4 pour les transactions commerciales en ligne entre entreprises.
  • Classe 5 pour les organisations privées ou la sécurité gouvernementale.

D'autres fournisseurs peuvent choisir d'utiliser des classes différentes ou pas de classes du tout car cela n'est pas spécifié dans le protocole SSL, cependant, la plupart choisissent d'utiliser des classes sous une forme ou une autre.

C'est nouveau (ish). Ils vérifiaient réellement toutes les demandes pour s'assurer que vous étiez bien celui que vous aviez dit. Cela a été laissé de côté afin que vous puissiez obtenir un certificat en quelques minutes au lieu de quelques jours.

17
kls

Toute valeur de "classe de certificat" est purement commerciale. Techniquement, une "autorité de certification" (CA) est juste un certificat SSL/TLS standard dans le magasin de certificats préinstallé du navigateur, sauf pour le fait que ces certificats ne pas incluent l'indicateur d'extension supplémentaire qui est intégré à l'intérieur de presque tous les certificats normaux:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Techniquement, toute autorité de certification dans le magasin de certificats de votre navigateur peut créer des certificats d'autorité de certification supplémentaires simplement en pas en incluant cette extension dans le certificat qu'ils signent et seule l'autorité de certification peut éviter cette. Et le certificat de vérification étendue (EV) n'est qu'un indicateur d'extension supplémentaire qui dit

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Notez le statut "Non critique"; tout logiciel est libre d'ignorer ce genre de choses. La seule chose qui empêche une autorité de certification d'ajouter cet indicateur à chaque certificat qu'elle signe est sa propre stratégie. En dehors de cela, ce ne sont que quelques octets ajoutés au fichier de certificat avant de signer le certificat.

Donc, fondamentalement, tout cela revient à avoir une sécurité qui correspond à l'autorité de certification la plus faible qui ait jamais été acceptée dans les navigateurs. La "classe de certificat" existe techniquement seulement à l'intérieur de l'étiquette CA visible par l'utilisateur, de sorte qu'il n'y a aucune différence réelle dans la sécurité. Étant donné que toutes les autorités de certification sont techniquement les mêmes, cela ne fait pratiquement aucune différence si la stratégie réellement appliquée d'une seule autorité de certification est réellement saine - c'est parce que l'attaquant potentiel peut toujours utiliser une autre autorité de certification pour obtenir son faux certificat.

Je recommande fortement de regarder la conférence par Moxie Marlinspike intitulée "SSL et l'avenir de l'authenticité" donnée dans Black Hat USA 2011: http: // www.youtube.com/watch?v=Z7Wl2FW2TcA. il vous aide à comprendre pourquoi le système CA actuel est très faible.

Je recommanderais d'acheter n'importe quel certificat qui obtient des avertissements par défaut pour se taire dans votre logiciel client. Si vous voulez plus agréable badge dans l'interface utilisateur du navigateur, achetez n'importe quel certificat EV. Si et quand vous avez besoin de plus de sécurité, vérifiez toujours l'empreinte digitale du certificat par vous-même; ne faites jamais confiance à any CA tiers pour faire son travail correctement.

5
Mikko Rantalainen

Pas assez. La plupart des fournisseurs de certificats de bonne réputation font toute cette liste de contrôle de classe 3. Un certificat EV n'est qu'une version très approfondie des mêmes vérifications, et vous pouvez échouer ces vérifications pour de nombreuses autres raisons que les vérifications "régulières".

3
sysadmin1138