jne*_*eff 20 encryption ssl-certificate
我刚刚从 GoDaddy.com 获得了“高级 EV SSL 证书”。显然,截至 8 个月前,GoDaddy 不提供 3 级证书。(http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/)他们还提到证书的使用是:
个人 1 类,用于电子邮件。
组织的第 2 类,需要身份证明。
用于服务器和软件签名的第 3 类,其身份和权限的独立验证和检查由颁发证书的机构完成。
第 4 类用于公司之间的在线商业交易。
私人组织或政府安全的第 5 类
谢谢!
小智 18
营销炒作(和成本)。这不是规范的一部分。这是来自维基百科:
http://en.wikipedia.org/wiki/Public_key_certificate
供应商定义的类
VeriSign 对不同类型的数字证书使用类的概念 [3]:
其他供应商可能会选择使用不同的类或根本不使用类,因为 SSL 协议中没有指定这一点,但是,大多数供应商确实选择以某种形式使用类。
这是新的(ish)。他们过去会实际验证所有请求,以确保您就是您所说的那个人。这已经被搁置了,因此您可以在几分钟而不是几天内获得证书。
任何“证书类”值都是纯粹的营销内容。从技术上讲,“证书颁发机构”(CA)只是浏览器预安装的证书存储中的常规 SSL/TLS 证书,除了这些证书不包含几乎每个普通证书中嵌入的额外扩展标志的事实:
Certificate Basic Constraints
Critical
Is not a Certificate Authority
从技术上讲,浏览器证书存储中的任何 CA 都可以创建其他 CA 证书,只需在他们签署的证书中不包含此扩展名,并且只有 CA策略可以避免这种情况。而扩展验证 (EV) 证书只是一个附加的扩展标志,上面写着
Certificate Policies
Not Critical
Extended Validation (EV) SSL Server Certificate
注意“非关键”状态;任何软件都可以随意忽略这些东西。唯一阻止 CA 将此标志添加到他们签署的每个证书的是他们自己的策略。除此之外,它只是在签署证书之前添加到证书文件中的几个字节。
所以基本上这一切都归结为具有与浏览器接受的最弱CA相匹配的安全性。“证书类”在技术上仅存在于用户可见的 CA 标签内,因此它在安全性方面的真实世界差异为零。因为所有 CA 在技术上都是相同的,如果单个 CA 的实际执行策略实际上是健全的,那么差异几乎为零——这是因为潜在的攻击者总是可以使用另一个 CA 来获取他的假证书。
我强烈推荐观看Moxie Marlinspike在 Black Hat USA 2011 上发表的名为“SSL 和真实性的未来”的演讲:http : //www.youtube.com/watch?v=Z7Wl2FW2TcA。它可以帮助您了解为什么当前的 CA 系统非常薄弱。
我建议购买任何获得默认警告的证书,以便在您的客户端软件中保持静音。如果您想在浏览器 UI 中获得更好的徽章,请购买任何EV 证书。如果和当您需要更多的安全,经常检查自己的证书指纹; 永远不要相信任何第三方 CA 会正确地做他们的事情。
| 归档时间: |
|
| 查看次数: |
41894 次 |
| 最近记录: |