Certificado SSL Classe 2 x Classe 3 x Classe 4

20

Acabei de receber um formulário "Certificado SSL EV Premium", GoDaddy.com. Aparentemente, a partir de 8 meses atrás, a GoDaddy não fornece Certificados Classe 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Eles também mencionaram o uso de certificados como sendo:

Classe 1 para indivíduos, destinado a email.

Classe 2 para organizações, para as quais é necessária prova de identidade.

Classe 3 para servidores e assinatura de software, cuja verificação e verificação independentes de identidade e autoridade são realizadas pela autoridade de certificação emissora.

Classe 4 para transações comerciais online entre empresas.

Classe 5 para organizações privadas ou segurança governamental

  1. A validação de certificado EV não é a mesma que uma validação de Classe 3? Por que os certificados EV não são apenas da classe 3?
  2. As pessoas usam certificados de classe 4? Tecnicamente, usamos nosso certificado para um B para B SOAP. Qual seria da classe 4. Uma classe 4 é realmente necessária?
  3. Onde está uma lista de autoridades de certificação e os certificados que eles emitem?
  4. Como tudo se resume à criptografia, existe alguma diferença importante entre os certificados, além da validação, de que você diz ser quem é?
  5. O que determina se uma CA pode fornecer certificados Classe 2 vs Classe 3 e Classe4?

Obrigado!

jneff
fonte

Respostas:

17

Hype de marketing (e custo). Isso não faz parte das especificações. Isto é da Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Classes definidas pelo fornecedor

A VeriSign usa o conceito de classes para diferentes tipos de certificados digitais [3]:

  • Classe 1 para indivíduos, destinado a email.
  • Classe 2 para organizações, para as quais é necessária prova de identidade.
  • Classe 3 para servidores e assinatura de software, cuja verificação e verificação independentes de identidade e autoridade são realizadas pela autoridade de certificação emissora.
  • Classe 4 para transações comerciais online entre empresas.
  • Classe 5 para organizações privadas ou segurança governamental.

Outros fornecedores podem optar por usar classes diferentes ou nenhuma classe, pois isso não está especificado no protocolo SSL; no entanto, a maioria prefere usar as classes de alguma forma.

Isso é novo (ish). Eles costumavam verificar todas as solicitações para garantir que você era quem disse que era. Isso já foi esquecido, para que você possa obter um certificado em alguns minutos e não em alguns dias.

kls
fonte
Então, por que o GoDaddy é uma "Autoridade de Certificação Go Daddy Classe 2"? Existem classes de autoridades de certificação?
jneff
8
@jneff: A GoDaddy possui uma CA que eles chamam de "Autoridade de Certificação GoDaddy Classe 2". Eles podem nomear suas CAs internas como quiserem. Eles podem chamar de "GoDaddy Class Asparagus CA", se quiserem.
David Schwartz
5

Qualquer valor "Classe de certificado" é puramente material de marketing. Tecnicamente, uma "Autoridade de Certificação" (CA) é apenas um certificado SSL / TLS regular no Armazenamento de Certificados pré-instalado pelo navegador, exceto pelo fato de que esses certificados não incluem o sinalizador de extensão extra incorporado a praticamente todos os certificados normais:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Tecnicamente, qualquer autoridade de certificação no repositório de certificados do seu navegador pode criar certificados de autoridade de certificação adicionais apenas não incluindo essa extensão no certificado assinado e somente a política da autoridade de certificação pode evitá-lo. E o certificado de Verificação Estendida (EV) é apenas um sinalizador de extensão adicional que diz

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Observe o status "Não crítico"; qualquer software é livre para ignorar essas coisas. A única coisa que impede uma CA de adicionar esse sinalizador a todos os certificados que assinar é sua própria política. Fora isso, são apenas alguns bytes adicionados ao arquivo de certificado antes de assinar o certificado.

Então, basicamente, tudo isso se resume a ter uma segurança que corresponda à CA mais fraca que já foi aceita nos navegadores. A "Classe de certificado" existe tecnicamente apenas dentro do rótulo da CA visível pelo usuário, portanto, possui zero diferença no mundo real na segurança. Como todas as autoridades de certificação são tecnicamente iguais, faz quase zero diferença se a política realmente aplicada de uma única autoridade de certificação for realmente sã - isso ocorre porque o invasor em potencial sempre pode usar outra autoridade de certificação para obter seu certificado falso.

Eu recomendo assistir à palestra de Moxie Marlinspike chamada "SSL e o futuro da autenticidade", apresentada no Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . ajuda a entender por que o sistema atual da CA é muito fraco.

Eu recomendo a compra de qualquer certificado que receba avisos padrão para silenciar no software cliente. Se você deseja um melhor emblema na interface do usuário do navegador, adquira qualquer certificado EV. Se e quando você precisar de mais segurança, verifique sempre a impressão digital do certificado; nunca confie em nenhuma autoridade de certificação de terceiros para fazer suas coisas corretamente.

Mikko Rantalainen
fonte
3

Nem tanto. Os fornecedores de certificados mais respeitáveis ​​fazem toda essa lista de verificação da Classe 3. Um certificado EV é apenas uma versão extra completa das mesmas verificações, e você pode falhar nessas verificações por muitas outras razões mais comuns.

sysadmin1138
fonte