it-swarm.dev

Tutti i certificati SSL sono uguali?

Dopo aver eseguito alcuni test dallo strumento SSL Labs di Qualsys , ho visto che c'erano differenze di valutazione piuttosto significative tra un certificato GoDaddy e VeriSign che ho testato.

Tutti i certificati SSL di diversi fornitori sono uguali? In caso contrario, su cosa si dovrebbe basare la propria decisione? Attualmente credo che la maggior parte delle persone soppeserà il costo rispetto al marchio (ovvero: GoDaddy ~ $ 70,00 vs. Verisign ~ $ 1,500,00).

Ho la sensazione da quello che ho visto che molto di questo dipende anche da come viene effettivamente implementato l'SSL - sarebbe una conclusione più accurata?

Per chiarezza:

87
Kyle Rozendo

Dichiarazione di non responsabilità: questa risposta proviene direttamente dal articolo eHow . Nessuna violazione prevista.

Certificati SSL di convalida del dominio

I certificati SSL convalidati dal dominio vengono utilizzati per stabilire un livello di affidabilità di base con un sito Web e dimostrare che si sta visitando il sito Web che si ritiene di visitare. Questi certificati vengono emessi dopo che l'emittente SSL ha confermato che il dominio è valido ed è di proprietà della persona che richiede il certificato. Non è necessario inviare documenti aziendali per ottenere un certificato SSL di convalida del dominio e questi tipi di certificati SSL possono essere emessi molto rapidamente. Lo svantaggio di questi tipi di certificati è che chiunque può ottenerli e non hanno alcun peso se non per proteggere le comunicazioni tra il browser Web e il server Web.

Certificati SSL di convalida dell'organizzazione

Un certificato SSL di convalida dell'organizzazione viene rilasciato alle aziende e fornisce un livello di sicurezza superiore rispetto a un certificato SSL di convalida del dominio. Un certificato di convalida dell'organizzazione richiede che alcune informazioni sulla società vengano verificate insieme a informazioni sul dominio e sul proprietario. Il vantaggio di questo certificato rispetto a un certificato di convalida del dominio è che non solo crittografa i dati, ma fornisce un certo livello di fiducia nei confronti dell'azienda che possiede il sito Web.

Certificati SSL di convalida estesa

Un certificato SSL di convalida estesa è un certificato SSL "top of the line". Per ottenerne uno è necessario che un'azienda passi attraverso un processo di verifica approfondito e tutti i dettagli dell'azienda devono essere verificati come autentici e legittimi prima che il certificato venga emesso. Sebbene questo certificato possa sembrare simile a un certificato SSL di convalida dell'organizzazione, la differenza fondamentale è il livello di verifica e verifica che viene eseguito sul proprietario del dominio e sulla società che richiede il certificato. Solo un'azienda che supera un'indagine approfondita può utilizzare il certificato SSL Extended Validation. Questo tipo di certificato è riconosciuto dai browser moderni ed è indicato da una barra colorata nella parte URL del browser.

Inoltre, OV contro EV hanno anche un impatto in termini di importi assicurativi in ​​caso di compromesso. Il premio assicurativo per un veicolo elettrico è molto più elevato rispetto a un veicolo commerciale.

Per saperne di più/originale: Mickey Walburg, Differenze nei certificati SSL | eHow.com

62
Lucas Kauffman

È in definitiva responsabilità dell'utente del cliente verificare la validità del certificato. Come fornitore di servizi, oltre a istruire l'utente se puoi, non c'è molto che puoi fare al tuo fianco: non controlli quali certificati sono attendibili dal browser dell'utente e non puoi sapere se gli utenti hanno verificato che utilizzando SSL/TLS correttamente e non hanno ignorato potenziali avvisi.

Quello che devi provare a valutare è come il tuo utente reagirà e controllerà il tuo certificato. Suppongo che il pubblico target per il tuo sito web non sia necessariamente tecnico o esperto di PKI. Le reazioni degli utenti dipenderanno da ciò che hanno appreso sui certificati. Sfortunatamente, ci sono molte informazioni contrastanti o vaghe su questo argomento là fuori, anche provenienti dalle stesse CA (ricorda che le CA hanno un interesse acquisito nel far desiderare ai loro clienti l'acquisto di certificati più costosi).

Modalità di convalida

Lo scopo generale di un certificato (chiave pubblica) è quello di associare un'identità a una chiave pubblica (vincolando quindi l'identità al server utilizzando la chiave privata corrispondente nell'handshake SSL/TLS).

Lucas Kauffman ha già scritto una risposta in dettaglio la differenza tra certificati convalidati dal dominio, certificati convalidati dall'organizzazione e certificati di convalida estesa. La vera domanda che devi porti è che cosa stai cercando di dimostrare all'utente.

La differenza tra questi tipi di certificati è come viene definita quell'identità stessa.

I certificati convalidati dal dominio ti garantiscono che il certificato è stato emesso al proprietario di quel dominio. Niente di più, ma niente di meno (suppongo che la procedura di convalida sia stata corretta qui). In molti casi, questo è sufficiente. Tutto dipende dal fatto che il sito Web che stai promuovendo debba essere collegato a un'istituzione che è già ben nota off-line. I certificati convalidati contro un'organizzazione (certificati OV ed EV) sono utili soprattutto quando è necessario associare il dominio anche a un'organizzazione fisica.

Ad esempio, è utile che un'istituzione inizialmente conosciuta tramite il suo edificio (ad esempio Bank of America) sia in grado di dire che un certificato per bankofamerica.com è davvero per il luogo in cui hai dato i tuoi soldi fisici. In questo caso, ha senso utilizzare un certificato OV o EV. Questo può anche essere utile se esiste un'ambiguità riguardo a quale istituzione si trova dietro il nome di dominio (ad esempio Apple.com e Apple.co.uk), che è ancora più importante è che il nome di dominio simile è di proprietà di un rivale/attaccante che usa il nome di somiglianza per scopi sbagliati.

In contrasto, www.google.com è ciò che definisce Google al pubblico; Google non ha bisogno di dimostrare che google.com appartiene al vero Google. Di conseguenza, utilizza un certificato convalidato dal dominio (lo stesso per Amazon.com).

Ancora una volta, questo è davvero utile se l'utente sa come controllarlo. I browser non aiutano davvero qui. Firefox dice "che è gestito da (sconosciuto)" se vuoi maggiori dettagli sul certificato in www.google.com, senza dire veramente cosa si intende con questo.

I certificati di convalida estesa sono un tentativo di migliorare ciò, rendendo più rigorosa la procedura di convalida dell'organizzazione e rendendo più visibile il risultato: barra verde e organizzazione più visibile.

Purtroppo, a volte questo è usato in un modo che aumenta la confusione, penso. Ecco un esempio che puoi verificare da solo: una delle grandi banche del Regno Unito (NatWest) utilizza il https://www.nwolb.com/ per i suoi servizi bancari online. È tutt'altro che ovvio che il nome di dominio appartiene a NatWest (che possiede anche il più logico natwest.co.uk nome, a proposito). Peggio ancora, la convalida estesa (se si controlla il nome accanto alla barra verde) viene eseguita contro "Royal Bank of Scotland Group plc":

EV certificate look

Per coloro che seguono le notizie finanziarie, ha senso perché sia ​​RBS che NatWest appartengono allo stesso gruppo, ma tecnicamente RBS e NatWest sono concorrenti (ed entrambi hanno filiali sulla strada principale nel Regno Unito, anche se questo cambierà). Se il tuo utente non ha quella conoscenza aggiuntiva su quali gruppi commerciano con quale nome, il fatto che un certificato venga rilasciato al nome di un potenziale concorrente dovrebbe suonare campanelli d'allarme. Se, come utente, hai visto un certificato su gooooogle.com rilasciato a Microsoft o Yahoo, per quanto la barra sia verde, non dovresti trattarla come il sito di Google.

Un punto da tenere a mente con i certificati EV è che la loro configurazione è codificata nei browser. Questa è un'impostazione del tipo di compilazione, che non può essere configurata in un secondo momento (a differenza dei normali archivi di certificati attendibili, dove è possibile aggiungere il proprio certificato CA istituzionale, ad esempio). Da un punto di vista più cinico, alcuni potrebbero considerare questo come un modo conveniente per i principali attori di mantenere una posizione di forza nel mercato.

Foche

Alcune autorità di certificazione offrono anche vari "sigilli" che è possibile inserire sul proprio sito Web, in genere con colori diversi a seconda del tipo di certificato acquistato. Sembrano essere intesi come un passo in più per impedire alle AC meno affidabili di rilasciare un certificato valido alla parte sbagliata.

Per quanto ne so, questi sono completamente inutili dal punto di vista della sicurezza. Infatti, quando fai clic su di esso per verificare il tuo certificato (ad esempio, se fai clic sul logo GoDaddy "verificato un sicuro", finisci su questa pagina ), nulla ti dice che il certificato che vedi è lo stesso di quello inviato al servizio dietro seal.godaddy.com. Infatti, se ci fosse un attaccante MITM tra te e example.com, con un altro certificato valido per example.com rilasciato da una CA sciatta, che l'attaccante del MITM non sarebbe compreso tra example.com e seal.godaddy.com. A meno che l'utente non guardi davvero il certificato in dettaglio, il sigillo non sarebbe di grande aiuto (tenendo presente che l'attaccante potrebbe semplicemente rimuovere il collegamento del sigillo o puntarlo a uno dall'altra CA).

Assicurazioni

Alcuni certificati hanno anche una sorta di assicurazione. Si otterrebbe una sorta di compensazione se qualcosa dovesse andare storto durante una transazione fino a un importo limitato. Non mi è chiaro quali sarebbero le condizioni per richiedere tale assicurazione.

Quale scegliere?

Alla fine della giornata, la maggior parte degli utenti mantiene l'elenco predefinito dei certificati CA affidabili in bundle con il proprio sistema operativo o browser. Dal momento che l'interfaccia utente non distingue molto chiaramente tra le CA, la sicurezza complessiva vista dall'utente (la cui responsabilità è controllare il certificato) sarà ridotta dal minimo comune denominatore in ciascuna categoria (barre blu e verdi).

Se è importante associare il nome di dominio a un'organizzazione "brick and mortar", vale la pena considerare un certificato EV. Personalmente non penso che il modo in cui le UI distinguono i certificati DV e OV sia abbastanza buono da rendere utile la visualizzazione del nome dell'organizzazione con una barra blu.

Se sei principalmente conosciuto dal tuo dominio (o se non c'è alcuna ambiguità per il fatto che il dominio è tuo, dal punto di vista di un utente), scegli un certificato con barra blu. (Controlla i dettagli dell'assicurazione se pertinenti al tuo sito Web.)

45
Bruno

Il punto importante è che il (solo) scopo del certificato SSL è verificare l'identità del server con cui stai comunicando.

Tutto ciò che riguarda la crittografia e la sicurezza della connessione viene negoziato tra il browser e il server indipendentemente dal certificato. Finché la chiave incorporata nel certificato è sufficientemente grande e non compromessa, la tua connessione è altrettanto sicura con un certificato gratuito come con un certificato da $ 2000.

Il prezzo del certificato riflette (o almeno dovrebbe riflette) la quantità di controllo che la società emittente ha fatto per verificare che si dovrebbe avere il certificato.

[~ ~ #] modifica [~ ~ #]

I certificati riguardano la fiducia piuttosto che la sicurezza. È una distinzione sottile, ma importante. Sono perfettamente al sicuro con un certificato autofirmato, purché sia ​​possibile verificare la chiave. In tal caso, un certificato EV non offre assolutamente più protezione per me nemmeno al minimo grado. Ma che dire delle altre persone? So in anticipo quale chiave fidarsi, ma non lo fanno. Questo è il ruolo di una CA.

Tutte le autorità di certificazione di fiducia pubblicamente richiedono di verificare la proprietà del dominio prima di emettere un certificato, quindi in tal senso un certificato Verisign da $ 2000 equivale a un certificato Startcom gratuito. Ma questa è solo metà della storia.

Ricorda il caso curioso di Mountain America Credit Union? Gli aggressori sono stati in grado di rappresentare una banca e ottenere un certificato SSL da Equifax, un sigillo ufficiale della società emittente, un indicatore ChoicePoint che verifica l'ubicazione (e la presunta legittimità) dell'azienda - tutto totalmente pulito, legittimo e correttamente rilasciato. Il loro segreto? La banca utilizza il nome di dominio macu.com, mentre questi aggressori hanno usato il nome mountain-america.net. Quando hanno richiesto il certificato, NON hanno dichiarato di essere una banca (che avrebbe sollevato bandiere rosse), ma hanno creato un sito dall'aspetto totalmente innocente. Potrebbe essere stato per qualcosa come scarponcini da trekking o acqua in bottiglia o un blog su come vivere in montagna. Chissà. Ma lo hanno cambiato per duplicare il sito Credit Union dopo che le credenziali erano state emesse.

Teoricamente, questo è esattamente il tipo di attacco contro il quale la certificazione EV dovrebbe proteggersi. Dovrebbe essere molto più difficile ottenere un certificato EV usando una falsa identità o basato su un'azienda inesistente. Probabilmente non impossibile, ma teoricamente più difficile. Quindi presumibilmente se si rivela essere una frode, almeno hai l'indirizzo dell'autore ... o almeno così speri.

Il fatto è che quando vendi fiducia su larga scala è difficile mantenere pulito il tuo prodotto. Si verificano violazioni come il fiasco di Mountain America, anche con tutte le ispezioni e gli esami che puoi convocare, perché una volta rilasciato il certificato, l'utente può cambiare la sua storia.

Forse la caratteristica di sicurezza più importante di un certificato da $ 2000 è il prezzo stesso. Dice "questa persona ha pagato $ 2000 per questo certificato". Presumibilmente qualcuno che intende usarlo per il male, preferirebbe invece un'alternativa più economica. È un po 'sciocco, ma probabilmente anche corretto.

21
tylerl

Principalmente Esistono 3 tipi di certificati SSL:

(1) Certificati SSL di convalida del dominio

  • Ha una procedura di convalida meno rigorosa.
  • Solo il nome e le informazioni di contatto del richiedente vengono controllati e verificati con i dati inseriti durante la registrazione.
  • Il fattore legittimo non viene verificato e, pertanto, è eccellente per i siti online o le aziende che non trasferiscono o trattano dati molto sensibili.
  • È legato direttamente al nome di dominio, quindi assicura agli utenti l'autenticità del sito Web; tuttavia, non incoraggia gli avvisi del browser.

(2) Certificato SSL di convalida estesa

  • Lanciato nel 2007, è uno dei primi protocolli a seguire rigorosamente le linee guida del settore.
  • La richiesta di certificazione e il processo di validazione sono estremamente rigorosi.
  • Ogni credenziale aziendale è accuratamente e minuziosamente verificata.
  • Per i siti che utilizzano questo protocollo, un modo per assicurarsi che il sito sia protetto o meno è quello di controllare la finestra di navigazione del browser. Diventa verde se il sito è sicuro e diventa rosso all'inizio del pericolo.
  • Aiuta a mantenere un elevato standard di affidabilità e verifica l'autenticità dell'azienda.

(3) Certificato SSL di convalida organizzativa

  • Viene verificata la legittimità degli affari del richiedente.
  • Segue una rigorosa procedura di convalida e verifica praticamente tutte le informazioni dell'azienda.
  • È un'opzione eccellente per le aziende online che si occupano di informazioni estremamente riservate.

(Fonte: Buzzle )

3
CheapestSSLs

Ci sono due lati in questo dibattito.

Il primo è fino a che punto un'autorità di certificazione si assicurerà che tu sia effettivamente chi asserisci di essere.

Il secondo è quante delle funzionalità più avanzate supportate da una CA.

Entrambi sono importanti ... un'autorità di certificazione che ti fornirà un certificato con tutte le funzionalità più recenti ma non verificherà che il tuo ID sia inutile, così come uno che ti verificherà bene ma emetterà un certificato con funzionalità obsolete 5 anni fa.

0
Mr. C