it-swarm-tr.com

Tüm SSL Sertifikaları eşit mi?

Qualsys'in SSL Labs aracından birkaç test yaptıktan sonra, test ettiğim bir GoDaddy ve VeriSign sertifikası arasında oldukça önemli derecelendirme farkları olduğunu gördüm.

Farklı sağlayıcıların tüm SSL sertifikaları eşit mi? Değilse, karar neye dayanmalıdır? Şu anda çoğu insanın markaya kıyasla maliyeti artıracağına inanıyorum (yani: GoDaddy ~ 70,00 vs. Verisign ~ 1,500,00 $).

Gördüğüm şeyden birçoğu da SSL'nin nasıl uygulandığına bağlı - bu daha doğru bir sonuç olur mu?

Açıklık için:

87
Kyle Rozendo

Feragatname: Bu cevap doğrudan eHow makalesi 'den gelir. Herhangi bir ihlal öngörülmemiştir.

Alan Adı Doğrulama SSL Sertifikaları

Etki alanı onaylı SSL sertifikaları, bir web sitesine temel düzeyde güven oluşturmak ve ziyaret ettiğinizi düşündüğünüz web sitesini ziyaret ettiğinizi kanıtlamak için kullanılır. Bu sertifikalar, SSL yayıncısı alan adının geçerli olduğunu ve sertifikayı isteyen kişinin sahibi olduğunu doğruladıktan sonra verilir. Alan Adı Doğrulama SSL sertifikası almak için herhangi bir şirket evrakı göndermenize gerek yoktur ve bu tür SSL sertifikaları çok hızlı bir şekilde verilebilir. Bu tür sertifikaların dezavantajı, herkesin bunları alabilmesidir ve web tarayıcınız ile web sunucusu arasında güvenli iletişim dışında gerçek bir ağırlık taşımazlar.

Kuruluş Doğrulama SSL Sertifikaları

Şirketlere Kuruluş Doğrulama SSL sertifikası verilir ve Etki Alanı Doğrulama SSL sertifikası üzerinden daha yüksek güvenlik sağlar. Kuruluş Doğrulama sertifikası, bazı şirket bilgilerinin alan adı ve sahip bilgileriyle birlikte doğrulanmasını gerektirir. Bu sertifikanın Alan Doğrulama sertifikası üzerindeki avantajı, yalnızca verileri şifrelemekle kalmaz, aynı zamanda web sitesinin sahibi olan şirket hakkında belirli bir güven düzeyi sağlamasıdır.

Genişletilmiş Doğrulama SSL Sertifikaları

Genişletilmiş Doğrulama SSL Sertifikası, "satır başı" SSL sertifikasıdır. Bir şirketin edinilmesi, bir şirketin ağır bir veterinerlik sürecinden geçmesini gerektirir ve sertifikanın verilmesinden önce şirketin tüm ayrıntılarının gerçek ve meşru olarak doğrulanması gerekir. Bu sertifika Kuruluş Doğrulama SSL sertifikasına benzeyebilse de, temel fark, etki alanının sahibi ve sertifika için başvuruda bulunan şirkette gerçekleştirilen veterinerlik ve doğrulama düzeyidir. Yalnızca kapsamlı bir araştırma yapan bir şirket Genişletilmiş Doğrulama SSL sertifikasını kullanabilir. Bu tür sertifikalar modern tarayıcılar tarafından tanınır ve tarayıcının URL bölümünde renkli bir çubukla gösterilir.

Buna ek olarak, EV'ye karşı OV'nin de uzlaşma durumunda sigorta tutarları üzerinde etkisi vardır. Bir EV için sigorta primi, bir OV'den çok daha yüksektir.

Daha fazla bilgi edinin/orijinal: Mickey Walburg, SSL Sertifikalarındaki Farklar | eHow.com

62
Lucas Kauffman

Nihayetinde sertifikanın geçerliliğini kontrol etmek müşterinin kullanıcısının sorumluluğundadır. Bir servis sağlayıcı olarak, eğer mümkünse kullanıcıyı eğitmek dışında, yanınızda yapabileceğiniz çok şey yoktur: kullanıcının tarayıcısı tarafından hangi sertifikalara güvenildiğini kontrol edemezsiniz ve kullanıcıların bunları doğrulayıp doğrulamadığını bilemezsiniz. SSL/TLS'yi doğru kullanmak ve potansiyel uyarıları göz ardı etmemek.

Değerlendirmeye çalışmanız gereken şey, kullanıcının sertifikanıza nasıl tepki vereceği ve kontrol edeceğidir. Web siteniz için hedef kitlenin mutlaka teknik veya PKI uzmanı olmadığını varsayıyorum. Kullanıcılarınızın nasıl tepki vereceği, sertifikalar hakkında öğrendiklerine bağlı olacaktır. Ne yazık ki, bu konuyla ilgili, CA'dan bile olsa, bu konuda çok sayıda çelişkili veya belirsiz bilgi var (CA'ların, müşterilerini daha pahalı sertifikalar satın almak istemelerine dikkat edin).

Doğrulama modları

(Ortak anahtar) sertifikasının genel amacı, bir kimliği ortak bir anahtara bağlamaktır (bu nedenle, kimliği SSL/TLS el bilgisayarında karşılık gelen özel anahtarı kullanarak sunucuya bağlamaktır).

Lucas Kauffman, alan adı onaylı sertifikalar, kuruluş onaylı sertifikalar ve genişletilmiş onay sertifikaları arasındaki farkı ayrıntılarıyla açıklayan bir cevap yazdı. Kendinize sormanız gereken asıl soru kullanıcıya neyi kanıtlamaya çalıştığınızdır.

Bu tür sertifikalar arasındaki fark, kimliğin kendisinin nasıl tanımlandığıdır.

Etki alanı onaylı sertifikalar, sertifikanın söz konusu etki alanının sahibine verildiğini garanti eder. Artık yok, daha az değil (doğrulama prosedürünün burada doğru olduğunu varsayıyorum). Birçok durumda, bu yeterlidir. Her şey, tanıttığınız web sitesinin zaten iyi bilinen bir kuruma bağlı olması gerekip gerekmediğine bağlıdır. Bir kuruluşa (OV ve EV sertifikaları) karşı doğrulanan sertifikalar, etki alanını fiziksel bir kuruluşa da bağlamanız gerektiğinde yararlıdır.

Örneğin, başlangıçta binası aracılığıyla bilinen bir kurumun (örneğin Bank of America) fiziksel paranızı verdiğiniz yer için bankofamerica.com Sertifikasının gerçekten olduğunu söyleyebilmesi yararlıdır. Bu durumda, bir OV veya EV sertifikası kullanmak mantıklıdır. Bu aynı zamanda alan adının arkasında hangi kurumun (ör. Apple.com Ve Apple.co.uk) Olduğu konusunda belirsizlik olması da yararlı olabilir. saldırganı kötü amaçlarla ad benzerliğini kullanarak.

Bunun aksine, www.google.com Google'ı herkese açık olarak tanımlar; Google'ın google.com İfadesinin gerçek Google'a ait olduğunu kanıtlamasına gerek yoktur. Sonuç olarak, etki alanı onaylı bir sertifika kullanıyor (Amazon.com İçin aynı).

Yine, kullanıcı bunu nasıl kontrol edeceğini biliyorsa gerçekten yararlıdır. Tarayıcılar burada gerçekten yardımcı olmuyor. Firefox, www.google.com Sitesindeki sertifika hakkında daha fazla ayrıntı istiyorsanız, bunun ne anlama geldiğini söylemeden "hangisi tarafından (bilinmiyor)" diyor.

Genişletilmiş doğrulama sertifikaları, kuruluş doğrulama yordamını daha katı hale getirerek ve sonucu daha görünür hale getirerek bunu iyileştirme girişimidir: yeşil çubuk ve daha görünür kuruluş.

Ne yazık ki, bu bazen karışıklığı artıracak bir şekilde kullanılıyor bence. İşte kendiniz kontrol edebileceğiniz bir örnek: İngiltere'deki büyük bankalardan biri (NatWest) çevrimiçi bankacılık hizmetleri için https://www.nwolb.com/ kullanır. Alan adının NatWest'e ait olduğu açıktır (bu arada daha mantıklı natwest.co.uk Adına da sahiptir). Daha da kötüsü, genişletilmiş doğrulama (yeşil çubuğun yanındaki adı kontrol ederseniz) "Royal Bank of Scotland Group plc" ye karşı yapılır:

EV certificate look

Finansal haberleri takip edenler için, hem RBS hem de NatWest aynı gruba ait olduğu için mantıklı, ancak teknik olarak, RBS ve NatWest rakipler (ve her ikisi de İngiltere'de yüksek caddede şubeleri var - bu değişecek olsa da). Kullanıcınız hangi grupların hangi isim altında ticaret yaptığı hakkında fazla bilgiye sahip değilse, potansiyel bir rakibin adına sertifika verilmesi gerçeği alarm zillerini çalmalıdır. Kullanıcı olarak, Microsoft veya Yahoo'ya verilen gooooogle.com Sertifikasını gördüyseniz, ancak çubuk yeşil olsa da, bunu Google'ın sitesi olarak görmemelisiniz.

EV sertifikalarını akılda tutmamız gereken bir nokta, konfigürasyonlarının tarayıcılara sabit kodlanmış olmasıdır. Bu, daha sonra yapılandırılamayan bir derleme türü ayardır (örneğin, kendi kurumsal CA sertifikanızı ekleyebileceğiniz normal güvenilir sertifika depolarının aksine). Daha alaycı bir bakış açısından, bazıları bunu ana oyuncuların pazarda güçlü bir pozisyonda tutmaları için uygun bir yol olarak düşünebilir.

Mühürler

Bazı CA'lar, web sitenize koyabileceğiniz, genellikle satın aldığınız sertifika türüne bağlı olarak farklı renklerde çeşitli "mühürler" sunar. Daha az saygın CA'ların yanlış tarafa geçerli bir sertifika vermesini önlemek için ek bir adım olarak düşünülüyorlar.

Bildiğim kadarıyla, bunlar güvenlik açısından tamamen işe yaramaz. Gerçekten, sertifikanızın doğrulanması için üzerine tıkladığınızda (örneğin, GoDaddy 'ın "güvenli bir" doğruladı "logosuna tıklarsanız, bu sayfa ), hiçbir şey gördüğünüz sertifikanın seal.godaddy.com arkasındaki servise gönderilen sertifikayla aynı olduğunu söylemez. Gerçekten de, sizinle example.com Arasında bir MITM saldırganı olsaydı, özensiz bir CA tarafından verilen example.com İçin geçerli başka bir sertifikaya sahipse, MITM saldırganı example.com Ve seal.godaddy.com. Kullanıcı sertifikaya gerçekten ayrıntılı bir şekilde bakmadığı sürece, mühür çok yardımcı olmaz (saldırganın mühür bağlantısını basitçe kaldırabileceğini veya diğer CA'dan birine yönlendirebileceğini unutmayın).

Sigortaları

Bazı sertifikalar bir çeşit sigorta ile birlikte gelir. Bir işlem sırasında sınırlı bir miktara kadar bir şeyler ters giderse bir tür tazminat alırsınız. Böyle bir sigortayı talep etme koşullarının ne olacağı bana açık değil.

Hangisini seçmeli?

Günün sonunda, çoğu kullanıcı işletim sistemleri veya tarayıcılarıyla birlikte verilen varsayılan güvenilir CA sertifikalarının listesini tutar. Kullanıcı arayüzü CA'lar arasında çok net bir şekilde ayrım yapmadığından, kullanıcının gördüğü genel güvenlik (sorumluluğu sertifikayı kontrol etmek) her kategorideki en düşük ortak payda (mavi ve yeşil çubuklar) tarafından düşürülecektir.

Alan adını bir "tuğla ve harç" kuruluşuna bağlamak önemliyse, bir EV sertifikası düşünmeye değer. Şahsen, UI'lerin DV ve OV sertifikalarını ayırt etme şeklinin, mavi bir çubukla kuruluş adını görüntülemeyi yararlı olacak kadar iyi olduğunu düşünmüyorum.

Öncelikle alan adınız tarafından biliniyorsa (veya alan adının size ait olduğu konusunda herhangi bir belirsizlik yoksa, kullanıcının bakış açısından) herhangi bir mavi çubuk sertifikası alın. (Web sitenizle alakalı ise sigorta ayrıntılarını kontrol edin.)

45
Bruno

Önemli olan, SSL sertifikasının (yalnızca) amacının iletişim kurduğunuz sunucunun kimliğini doğrulamaktır.

Bağlantının şifrelenmesi ve güvenliği ile ilgili her şey tarayıcıdan sunucudan sertifikadan bağımsız olarak görüşülür. Sertifikaya katıştırılmış anahtar yeterince büyük olduğu ve ödün vermediği sürece, bağlantınız 2000 dolarlık bir sertifikada olduğu gibi ücretsiz bir sertifika ile eşit derecede güvenlidir.

Sertifikanın fiyatı, ihraç eden şirketin bu sertifikaya sahip olmanıza izin verilmesi gerektiğini doğrulamak için yaptığı veteriner miktarını yansıtır (veya en azından gerekir yansıtmaktadır.

[~ # ~] düzenlemek [~ # ~]

Sertifikalar güvenlikten ziyade güven ile ilgilidir. İnce bir ayrım, ama önemli bir ayrım. Anahtarı doğrulayabildiğim sürece kendinden imzalı bir sertifika ile mükemmel bir şekilde güvencem var. Bu durumda, bir EV sertifikası benim için en ufak bir dereceye kadar kesinlikle daha fazla koruma sunmaz. Peki ya diğer insanlar? Hangi anahtarın güvenileceğini önceden biliyorum, ama bilmiyorlar. Bir CA'nın rolü budur.

Herkese açık olarak güvenilen tüm CA'lar, bir sertifika vermeden önce alan adınızın sahipliğini doğrulamanızı gerektirir; bu nedenle, 2000 ABD doları tutarındaki Verisign sertifikası ücretsiz bir Startcom sertifikasına eşittir. Ama bu hikayenin sadece yarısı.

Unutmayın meraklı vaka Mountain America Kredi Birliği? Saldırganlar banka olarak poz vermeyi ve ihraç eden şirketin resmi bir mührü olan Equifax'tan SSL sertifikası alabildiler, şirketin yerini (ve tamamen meşruiyetini) doğrulayan bir ChoicePoint göstergesi - hepsi tamamen temiz, yasal ve düzgün bir şekilde yayınlandı. Onların sırrı? Banka macu.com, bu saldırganlar mountain-america.net. Sertifika için başvurduklarında, banka olduklarını söylemediler (kırmızı bayraklar yükseltirdi), bunun yerine tamamen masum görünümlü bir site oluşturdular. Yürüyüş botları veya şişelenmiş su veya dağlarda yaşam hakkında bir blog gibi bir şey olabilirdi. Kim bilir. Ancak kimlik bilgileri verildikten sonra Kredi Birliği sitesini çoğaltmak için siteyi değiştirdiler.

Teorik olarak, bu EV sertifikasının karşı koyması gereken bir saldırıdır. Sahte bir kimlik kullanarak veya var olmayan bir şirkete dayalı bir EV sertifikası almak çok daha zor olmalıdır. Muhtemelen imkansız değil, teorik olarak daha zor. Muhtemelen bir sahtekarlık olduğu ortaya çıkarsa, en azından failin adresine sahipsiniz .. ya da umarsınız.

Mesele şu ki, büyük ölçekte güven satıyorsanız, ürününüzü temiz tutmak zordur. Mountain America fiyasko gibi ihlaller gerçekleşir, tüm veterinerlik ve muayene ile bile çağırabilirsiniz, çünkü sertifika verildikten sonra kullanıcı hikayesini değiştirebilir.

Muhtemelen 2000 dolarlık bir sertifikanın en önemli güvenlik özelliği fiyatın kendisidir. "Bu kişi bu sertifika için 2000 dolar ödedi" diyor. Muhtemelen kötülük için kullanmayı düşünen biri, bunun yerine daha ucuz bir alternatif seçerdi. Biraz aptalca, ama muhtemelen de doğru.

21
tylerl

Temelde 3 tür SSL Sertifikası vardır:

(1) Alan Adı Doğrulama SSL Sertifikaları

  • Daha az titiz bir doğrulama prosedürü vardır.
  • Kayıt sırasında girilen verilerle sadece başvuru sahibinin adı ve iletişim bilgileri kontrol edilir ve doğrulanır.
  • Meşru faktör kontrol edilmez ve bu nedenle bu, çevrimiçi siteler veya çok hassas veriler aktarmayan veya bunlarla ilgilenmeyen işletmeler için mükemmeldir.
  • Doğrudan alan adına bağlıdır, böylece kullanıcılara web sitesinin gerçekliği konusunda güvence verir; ancak tarayıcı uyarılarını teşvik etmez.

(2) Genişletilmiş Doğrulama SSL Sertifikası

  • 2007 yılında başlatılan sektör kurallarını titizlikle izleyen ilk protokollerden biridir.
  • Sertifika başvurusu ve doğrulama süreci son derece titizdir.
  • Her işletme bilgisi dikkatlice ve özenle doğrulanır.
  • Bu protokolü kullanan siteler için, sitenin korunup korunmadığını kontrol etmenin bir yolu tarayıcı gezinme penceresini kontrol etmektir. Site güvenliyse yeşile döner ve tehlike başlangıcında kırmızıya döner.
  • Yüksek bir güvence standardının korunmasına yardımcı olur ve işletmenin orijinalliğini doğrular.

(3) Kurumsal Doğrulama SSL Sertifikası

  • Başvuranın işinin meşruiyeti kontrol edilir.
  • Katı bir doğrulama prosedürünü izler ve işletmenin tüm bilgilerini pratik olarak doğrular.
  • Son derece gizli bilgilerle uğraşan çevrimiçi işletmeler için mükemmel bir seçenektir.

(Kaynak: Buzzle )

3
CheapestSSLs

Bu tartışmanın iki tarafı var.

Birincisi, bir CA'nın gerçekte kim olduğunuzu iddia ettiğinizden emin olmak için ne kadar ilerleyeceği.

İkincisi, bir CA'nın desteklediği daha gelişmiş özelliklerden kaç tanesidir.

Her ikisi de önemlidir ... size en yeni özellikleri içeren bir sertifika verecek ama iyi kontrol edecek ama sadece 5 yıl önce kullanılmayan özelliklere sahip bir sertifika veren biri olarak kimliğinizi kontrol etmeyecektir.

0
Mr. C