来自不同提供商的所有SSL证书是否相等?如果没有,他们的决定应基于什么?目前,我相信大多数人会权衡品牌成本(即GoDaddy的价格为$ 70.00,Verisign的价格为$ 1,500.00)。
我从中看到的很多东西取决于SSL的实际实现方式-这是一个更准确的结论吗?
为了清楚起见:
Godaddy SSL实验室报告
Google SSL实验室报告
#1 楼
免责声明:此答案直接来自eHow文章。没有侵权意图。域验证SSL证书
域验证的SSL证书用于建立与网站的基准信任级别并证明您正在访问您认为您正在访问的网站。这些证书是在SSL颁发者确认域有效并由请求证书的人所拥有之后颁发的。无需提交任何公司文件即可获取域验证SSL证书,并且可以非常快速地颁发这些类型的SSL证书。这些类型的证书的缺点是任何人都可以获取它们,并且除了确保您的Web浏览器和Web服务器之间的通信安全外,它们没有任何实际意义。
组织验证SSL证书
组织验证SSL证书已颁发给公司,并提供了比域验证SSL证书更高的安全级别。组织验证证书要求对某些公司信息以及域和所有者信息进行验证。与域验证证书相比,此证书的优点在于,它不仅可以加密数据,而且还可以对拥有网站的公司提供一定程度的信任。
扩展验证SSL证书
扩展验证SSL证书是“最重要的” SSL证书。要获得证书,需要公司进行繁重的审查程序,并且在颁发证书之前,必须先验证公司的所有详细信息为真实合法。尽管此证书看起来类似于组织验证SSL证书,但主要区别在于对域所有者和正在申请证书的公司执行的审核和验证级别。只有通过彻底调查的公司才能使用扩展验证SSL证书。这种类型的证书已为现代浏览器所识别,并通过浏览器URL部分中的彩色条表示。
此外,OV与EV在保险金额方面也有影响以防万一。 EV的保险费比OV高得多。
阅读更多/原创:Mickey Walburg,SSL证书的差异| eHow.com
评论
只有EV SSL证书为您提供绿色的地址栏。 OV证书没有。
– josh3736
2012年4月4日15:53
“ [DV]证书的缺点是任何人都可以得到它们”。不完全是:您仍然需要成为域的所有者,在许多情况下这已经足够了。
–布鲁诺
2012年4月9日在18:12
此信息包含许多错误。如前所述,“任何人都可以”获得DV证书,或者它们“不承担任何实际负担”,这并不是真的-浏览器信任它们而不像其他证书一样发出警告,它们只是不显示“绿条”( OV证书同样适用)。至少从技术角度来讲,OV / EV证书并没有真正提供“更高级别的安全性”-安全性不是由证书类型决定的,而仅是合法获得的证书。 OV证书不允许您信任公司,而只是告诉您公司是谁。 EV证书不提供额外的“可靠性”。
–胸腺
15年8月11日在7:08
所有OV和EV证书所做的工作都表明,发行人不仅验证了域名的真实性,还验证了有关组织的其他详细信息(例如公司名称),对于EV,这在浏览器中显示为“绿色横条”,并且公司显示的名称。 OV没有绿色栏,因此大多数用户看不到它相对于DV的优势。无需模糊地谈论“额外安全性”或“可靠性”,就好像它们是直接相关的一样,显然,该证书永远不会验证公司是否“值得信赖”,仅是其声称的身份。邪恶的公司可以购买EV证书。
–胸腺
2015年8月11日在7:12
注意:因为您的信息来自eHow文章,所以没有针对您的批评。这只是Web上有关证书类型之间差异的数百篇不准确和误导性文章之一。
–胸腺
15年8月12日在1:06
#2 楼
客户的最终责任是检查证书的有效性。作为服务提供商,除了对用户进行教育之外,您无能为力:
您无法控制用户的浏览器信任哪些证书,也不知道用户是否
已正确验证了他们使用SSL / TLS的安全并且没有忽略潜在的警告。
您需要尝试评估用户的反应方式并检查证书。
我假设您网站的目标受众不一定是技术或PKI专家。
您的用户如何做出反应将取决于他们对证书的了解。
不幸的是,关于此主题的信息很多,甚至是含糊不清的,甚至来自CA本身(请记住,CA都有使客户希望购买更昂贵的证书的既得利益)。
验证模式
(公钥)证书的一般用途是将身份绑定到公钥(因此使用SSL / TLS握手中的相应私钥将身份绑定到服务器)。
已经写了一个答案,详细说明了域验证证书,组织验证证书和扩展验证证书之间的区别。
您需要问自己的真正问题是您要向用户证明的内容。
这些类型的证书之间的区别在于身份本身是如何定义的。
经过域验证的证书可确保您已将证书颁发给该域的所有者。没有更多,但也不少(我假设验证过程在这里是正确的)。在许多情况下,这就足够了。这完全取决于您要推广的网站是否需要链接到已经众所周知的离线机构。当您也需要将域绑定到物理组织时,针对组织进行验证的证书(OV和EV证书)主要有用。例如,对于最初通过它的建筑物(例如美国银行)可以说,
bankofamerica.com
的证书确实是您已付了实物的地方。在这种情况下,使用OV或EV证书是有意义的。如果对于哪个机构在域名后面(例如apple.com
和apple.co.uk
)存在歧义,这也可能很有用,更重要的是,相似的域名由竞争对手/攻击者拥有,但出于不良目的使用名称相似性。 br /> 相比之下,
www.google.com
是向公众定义Google的东西; Google无需证明google.com
属于真实的Google。结果,它使用的是经过域验证的证书(与amazon.com
相同)。再次,如果用户知道如何检查此证书,这将非常有用。浏览器在这里并没有真正的帮助。如果您想在
www.google.com
上获得有关该证书的更多详细信息,Firefox只会说“由(未知)运行”,而没有真正说出这是什么意思。扩展验证证书是一种尝试来改善此问题,通过使组织验证程序更严格,并使结果更可见:绿色条和更可见的组织。
不幸的是,我认为有时使用这种方式会增加混乱。这是一个示例,您可以自己检查:一家英国大型银行(NatWest)使用
https://www.nwolb.com/
来提供其在线银行服务。域名显然属于NatWest(顺便说一句,它也拥有更合乎逻辑的natwest.co.uk
名称),这一点远非显而易见。更糟糕的是,对“苏格兰皇家银行集团(Royal Bank of Scotland Group plc)”进行了扩展验证(如果您选中绿色栏旁边的名称):财务新闻,这是有道理的,因为RBS和NatWest都属于同一组,但是从技术上讲,RBS和NatWest是竞争对手(并且两者都在英国的大街上都有分支机构-尽管这将会改变)。如果您的用户不了解有关哪个组以哪个名称进行交易的额外知识,则应以潜在竞争对手的名称颁发证书。如果作为用户,您在gooooogle.com
上看到了颁发给Microsoft或Yahoo的证书,但标有绿色,则不应将其视为Google的网站。EV证书要牢记一点它们的配置已硬编码到浏览器中。这是一个编译类型的设置,以后无法配置(例如,与普通的受信任证书存储区不同,您可以在其中添加自己的机构CA证书)。从更愤世嫉俗的角度来看,有些人可能会认为这是主要参与者在市场上保持强势地位的便捷方法。
密封件您可以在网站上放置各种“印章”,通常根据所购买证书的类型使用不同的颜色。它们似乎是为了防止信誉较差的CA向错误的一方颁发有效证书而采取的额外步骤。
据我所知,从安全角度来看,这些完全没有用。确实,当您单击它以验证证书时(例如,如果单击GoDaddy的“已验证安全”徽标,则最终显示在此页面上),则没有任何信息表明您看到的证书与该证书相同已发送到
seal.godaddy.com
后面的服务。的确,如果您和example.com
之间存在一个MITM攻击者,而另一个由草率CA颁发的example.com
的有效证书,则该MITM攻击者将不在example.com
和seal.godaddy.com
之间。除非用户真的仔细查看证书,否则印章将无济于事(请记住,攻击者可以简单地删除印章链接或将其指向另一个CA中的一个)。 />保险有些证书也附带某种保险。如果在交易过程中出了问题且金额有限,您将获得某种补偿。对我来说,尚不清楚申领这种保险的条件是什么。
选择哪种保险?
最终,大多数用户保留默认的保险清单。与操作系统或浏览器捆绑在一起的受信任CA证书。由于用户界面不能很清楚地区分CA,因此,用户看到的总体安全性(其职责是检查证书)将由每个类别中最低的公分母(蓝色和绿色条形)降低。
如果将域名绑定到“实体”组织很重要,则值得考虑使用EV证书。我个人认为UI区分DV和OV证书的方式不足以使显示蓝色框的组织名称有用。
如果您的域名最初是知名的(或者从用户的角度来看,该域完全是您的域,这毫无疑问),您可以申请任何蓝条证书。 (如果与您的网站相关,请检查保险详细信息。)
评论
一些CA暗示或明确声称,EV不仅意味着认真的身份验证,还意味着更好的加密。 (这似乎并不意味着非电动汽车意味着对蛇油身份的验证。)
–好奇
2012年6月27日在2:32
@curiousguy,“某些CA暗示或明确声称,EV意味着更好的加密货币”,我必须承认我从未注意到这一点(您是否有任何联系?),但这完全是错误的。密码强度由密码套件(我猜是PRNG)确定,而密码套件与证书(密钥类型,例如RSA / DSA除外)相当独立。当然,密钥大小很重要,您获得的EV证书的密钥大小大致相同。
–布鲁诺
2012年6月27日在2:38
我没有链接,甚至不记得它是哪个CA,但我确实记得那个说法是关于EV证书的最小保证RSA密钥大小。在其他地方,我读到一个声称EV证书不使用MD5(不同于常规证书)的说法。对我来说,这两种说法实际上都读为:“弱加密链接将不在EV证书中,而可能在常规证书中”。 IOW:除非您也修复弱点,否则绝对没有意义。
–好奇
2012年6月27日,下午3:13
@curiousguy,您是对的,据我记得,EV证书至少需要2048位密钥,并且不需要MD5。话虽如此,我认为基于MD5的CA证书已从大多数OS /浏览器分发程序中删除。不确定密钥大小,但是即使是一些廉价的CA也只能接受2048位或更多的CSR。
–布鲁诺
2012年8月18日在15:07
@Pacerier是的,这很有可能。的确,DV证书可能存在问题,但是这些CA一直在向您出售更昂贵的EV证书,这是既得利益,再加上它们已经设法以某种方式对自己的浏览器代码进行了硬编码,这使他们显然有偏见。 。
–布鲁诺
16年4月12日在13:28
#3 楼
重要的一点是,SSL证书的(唯一)目的是验证与之通信的服务器的身份。关于连接的加密和安全性的所有问题都在浏览器和服务器之间进行协商,而与证书。只要证书中嵌入的密钥足够大且不会受到破坏,免费证书与$ 2000证书一样,您的连接同样安全。
证书的价格反映(或至少应反映)金额审核发行公司的工作是为了验证您是否应该获得该证书。
编辑
证书是关于信任而不是安全的。这是一个微妙的区别,但很重要。只要我可以验证密钥,我就可以使用自签名证书完全安全。在那种情况下,即使在最小程度上,EV证书也绝对无法为我提供更多保护。但是其他人呢?我提前知道了信任哪个密钥,但是他们不知道。这是CA的角色。
所有受公共信任的CA都要求您在颁发证书之前验证域的所有权,因此从某种意义上说,2000美元的Verisign证书等于免费的Startcom证书。但这只是故事的一半。
还记得美国山区信用社的奇怪案例吗?攻击者能够冒充银行并获得Equifax的SSL证书,发行公司的官方印章,ChoicePoint指示器,以验证公司的位置(和合法性)-完全干净,合法且已正确发行。他们的秘密?银行使用域名
macu.com
,而这些攻击者使用域名mountain-america.net
。当他们申请证书时,他们并没有说自己是银行(本来会发出危险信号的),而是建立了一个看起来完全无辜的网站。可能是远足靴或瓶装水之类的东西,或者是有关山区生活的博客。谁知道。但是,在颁发凭据后,他们将其更改为与Credit Union网站相同。从理论上讲,这正是EV认证应防范的攻击。使用虚假身份或基于不存在的公司来获得EV证书应该更加困难。可能并非没有可能,但从理论上讲更加困难。因此,大概是事实,那就是欺诈,至少您有犯罪者的地址..或者您希望如此。
问题是,当您大规模出售信任时,很难保持自己的身份。产品干净。即便发生了所有审查和检查,您都可以召唤出类似Mountain Mountain惨案的违规行为,因为一旦颁发了证书,用户就可以更改其情况。
2000美元证书的最重要的安全功能可能就是价格本身。它说:“这个人为此证书支付了2000美元”。大概有人打算将其用于邪恶,反而会选择更便宜的替代品。这有点愚蠢,但也可能是正确的。
评论
尽管我大部分都同意您的回答,但您似乎对证书和身份验证的作用轻描淡写。 “只要证书中嵌入的密钥足够大且不受破坏,您的连接就可以像免费的$ 2000证书一样安全。”安全性不仅与加密强度有关:您需要良好的加密和良好的远程用户身份验证。后者是证书的用途。如果您一开始不检查与谁交换数据,那么使用最佳加密方案交换数据就毫无意义。
–布鲁诺
2012年6月26日12:13
我同意“只要可以验证密钥,我就可以使用自签名证书来保证绝对安全。”,但是(部分)不同意“证书是关于信任而不是安全。这是一个微妙的区别,但是很重要。 ”:证书确实与信任有关,但是信任是安全性的固有部分。使用自签名证书或来自自己的CA的证书确实可以确保绝对安全,这取决于您自己对证书建立信任。为了安全起见,您既需要信任证书(通过CA或手动),也需要进行加密。
–布鲁诺
2012年6月27日,0:51
“只要我可以验证密钥,我就可以使用自签名证书完全安全。”最后,我去了一家银行代理机构,没人能给我证书的指纹,甚至无法确认他们使用的是哪个CA。
–好奇
2012年6月27日在2:29
@tylerl“而且,在您关于尝试为您的银行获取证书指纹的故事中,我还打招呼。”您下注多少?
–好奇
2012年6月27日上午9:03
@tylerl“我故意将信任与技术安全分开”。我认为那是一个错误。安全不仅仅是其技术特征:管理和可用性(以及社会方面)也是安全系统的核心方面。它需要作为一个整体来看。安全系统的强大之处仅在于其最薄弱的环节。 (此外,使用CA时,证书和身份验证可能是非常技术性的,请参阅RFC 5280/6125。)
–布鲁诺
2012年6月27日17:56
#4 楼
主要有3种SSL证书:(1)域验证SSL证书
它的验证过程不太严格。
仅检查申请人的姓名和联系信息,并与注册时输入的数据进行核实。它具有非常敏感的数据。
它直接与域名绑定,因此可以向用户保证网站的真实性;但是,它不鼓励浏览器警告。
(2)扩展验证SSL证书
2007年推出,它是最早严格遵循的协议之一。行业准则。
认证申请和验证过程非常严格。
每个业务凭证都经过仔细,细致的验证。
对于使用此协议的站点,一种确保站点是否为是否受保护是要检查浏览器的导航窗口。如果站点是安全的,它将变为绿色,并在发生危险时变为红色。
它有助于保持较高的保证标准,并验证业务的真实性。
(3)组织验证SSL证书
检查申请人业务的合法性。
它遵循严格的验证程序,并实际上验证了业务的所有信息。
是处理极机密信息的在线业务的绝佳选择。
(来源:Buzzle)
评论
OV 2号和EV 3号不是吗?
–起搏器
16年4月12日在13:10
#5 楼
这场辩论有两个方面。第一,CA将确保您实际上是您声称的身份。
第二是更多CA支持的高级功能。
两者都很重要...一个CA将为您提供具有所有最新功能的证书,但不会检查您的ID是没有用的,就像可以很好地检查您的证书一样仅颁发具有5年前已过时功能的证书。
评论
这是相当过时的信息。现在,ICANN正在迫使注册机构保留有关域的信息,例如让我们进行加密的CA,可以证明您可以在该域后面运行程序,从而使您可以直接向该域添加证书。而且(从理论上来说)应该足够好,因为域名所有者的责任是加固服务器,而域名注册人的责任是服务器不受损害。
–grochmal
17年1月16日,1:12
只要您将其保持低调,您仍然可以注册域名并将其保留在完全错误的信息下,并为其获得完全有效的证书。如果您使用if进行一些大骗局,它将不会持续下去,但是如果您使用某物,则没人会注意到或关心您可以将其无限期保留。
– C先生
17年1月16日在9:58
评论
这两个报告对证书的评价相同