Acabei de receber um formulário "Certificado SSL EV Premium", GoDaddy.com. Aparentemente, a partir de 8 meses atrás, a GoDaddy não fornece Certificados Classe 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Eles também mencionaram o uso de certificados como sendo:
Classe 1 para indivíduos, destinado a email.
Classe 2 para organizações, para as quais é necessária prova de identidade.
Classe 3 para servidores e assinatura de software, cuja verificação e verificação independentes de identidade e autoridade são realizadas pela autoridade de certificação emissora.
Classe 4 para transações comerciais online entre empresas.
Classe 5 para organizações privadas ou segurança governamental
- A validação de certificado EV não é a mesma que uma validação de Classe 3? Por que os certificados EV não são apenas da classe 3?
- As pessoas usam certificados de classe 4? Tecnicamente, usamos nosso certificado para um B para B SOAP. Qual seria da classe 4. Uma classe 4 é realmente necessária?
- Onde está uma lista de autoridades de certificação e os certificados que eles emitem?
- Como tudo se resume à criptografia, existe alguma diferença importante entre os certificados, além da validação, de que você diz ser quem é?
- O que determina se uma CA pode fornecer certificados Classe 2 vs Classe 3 e Classe4?
Obrigado!
fonte
Qualquer valor "Classe de certificado" é puramente material de marketing. Tecnicamente, uma "Autoridade de Certificação" (CA) é apenas um certificado SSL / TLS regular no Armazenamento de Certificados pré-instalado pelo navegador, exceto pelo fato de que esses certificados não incluem o sinalizador de extensão extra incorporado a praticamente todos os certificados normais:
Tecnicamente, qualquer autoridade de certificação no repositório de certificados do seu navegador pode criar certificados de autoridade de certificação adicionais apenas não incluindo essa extensão no certificado assinado e somente a política da autoridade de certificação pode evitá-lo. E o certificado de Verificação Estendida (EV) é apenas um sinalizador de extensão adicional que diz
Observe o status "Não crítico"; qualquer software é livre para ignorar essas coisas. A única coisa que impede uma CA de adicionar esse sinalizador a todos os certificados que assinar é sua própria política. Fora isso, são apenas alguns bytes adicionados ao arquivo de certificado antes de assinar o certificado.
Então, basicamente, tudo isso se resume a ter uma segurança que corresponda à CA mais fraca que já foi aceita nos navegadores. A "Classe de certificado" existe tecnicamente apenas dentro do rótulo da CA visível pelo usuário, portanto, possui zero diferença no mundo real na segurança. Como todas as autoridades de certificação são tecnicamente iguais, faz quase zero diferença se a política realmente aplicada de uma única autoridade de certificação for realmente sã - isso ocorre porque o invasor em potencial sempre pode usar outra autoridade de certificação para obter seu certificado falso.
Eu recomendo assistir à palestra de Moxie Marlinspike chamada "SSL e o futuro da autenticidade", apresentada no Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . ajuda a entender por que o sistema atual da CA é muito fraco.
Eu recomendo a compra de qualquer certificado que receba avisos padrão para silenciar no software cliente. Se você deseja um melhor emblema na interface do usuário do navegador, adquira qualquer certificado EV. Se e quando você precisar de mais segurança, verifique sempre a impressão digital do certificado; nunca confie em nenhuma autoridade de certificação de terceiros para fazer suas coisas corretamente.
fonte
Nem tanto. Os fornecedores de certificados mais respeitáveis fazem toda essa lista de verificação da Classe 3. Um certificado EV é apenas uma versão extra completa das mesmas verificações, e você pode falhar nessas verificações por muitas outras razões mais comuns.
fonte