Certificat SSL Classe 2 vs Classe 3 vs Classe 4

20

Je viens de recevoir un formulaire "Premium EV SSL Certificate" GoDaddy.com. Apparemment, il y a 8 mois, GoDaddy ne fournit pas de certificats de classe 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Ils ont également mentionné l'utilisation des certificats comme:

Classe 1 pour les particuliers, destinée au courrier électronique.

Classe 2 pour les organisations, pour lesquelles une preuve d'identité est requise.

Classe 3 pour les serveurs et la signature de logiciels, pour laquelle une vérification et une vérification indépendantes de l'identité et de l'autorité sont effectuées par l'autorité de certification émettrice.

Classe 4 pour les transactions commerciales en ligne entre entreprises.

Classe 5 pour les organisations privées ou la sécurité gouvernementale

  1. La validation d'un certificat EV n'est-elle pas la même qu'une validation de classe 3? Pourquoi les certificats EV ne sont-ils pas uniquement de classe 3?
  2. Les gens utilisent-ils des certificats de classe 4? Techniquement, nous utilisons notre certificat pour un savon B to B. Qui relèverait de la classe 4. Une classe 4 est-elle vraiment nécessaire?
  3. Où se trouve la liste des autorités de certification et des certificats qu'elles émettent?
  4. Puisqu'il se résume au chiffrement, y a-t-il une différence majeure entre les certificats en plus de la validation que vous dites que vous êtes qui vous êtes?
  5. Qu'est-ce qui détermine si une autorité de certification peut délivrer des certificats de classe 2, de classe 3 et de classe 4?

Merci!

jneff
la source

Réponses:

17

Battage publicitaire (et coût). Cela ne fait pas partie de la spécification. C'est de Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Classes définies par le fournisseur

VeriSign utilise le concept de classes pour différents types de certificats numériques [3]:

  • Classe 1 pour les particuliers, destinée au courrier électronique.
  • Classe 2 pour les organisations, pour lesquelles une preuve d'identité est requise.
  • Classe 3 pour les serveurs et la signature de logiciels, pour laquelle une vérification et une vérification indépendantes de l'identité et de l'autorité sont effectuées par l'autorité de certification émettrice.
  • Classe 4 pour les transactions commerciales en ligne entre entreprises.
  • Classe 5 pour les organisations privées ou la sécurité gouvernementale.

D'autres fournisseurs peuvent choisir d'utiliser des classes différentes ou pas de classes du tout car cela n'est pas spécifié dans le protocole SSL, cependant, la plupart choisissent d'utiliser des classes sous une forme ou une autre.

C'est nouveau (ish). Ils vérifiaient réellement toutes les demandes pour s'assurer que vous étiez bien celui que vous aviez dit. Cela a été laissé de côté afin que vous puissiez obtenir un certificat en quelques minutes au lieu de quelques jours.

kls
la source
Alors pourquoi GoDaddy est-il une «Autorité de certification Go Daddy Class 2»? Existe-t-il des classes d'autorités de certification?
jneff
8
@jneff: GoDaddy a une autorité de certification qu'ils appellent "GoDaddy Class 2 Certification Authority". Ils peuvent nommer leurs autorités de certification internes comme ils le souhaitent. Ils peuvent l'appeler "GoDaddy Class Asparagus CA" s'ils le souhaitent.
David Schwartz
5

Toute valeur de "classe de certificat" est purement commerciale. Techniquement, une "autorité de certification" (CA) est juste un certificat SSL / TLS standard dans le magasin de certificats préinstallé du navigateur, sauf pour le fait que ces certificats n'incluent pas l'indicateur d'extension supplémentaire qui est incorporé à peu près tous les certificats normaux:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Techniquement, toute autorité de certification dans le magasin de certificats de votre navigateur peut créer des certificats d'autorité de certification supplémentaires simplement en n'incluant pas cette extension dans le certificat qu'ils signent et seule la stratégie d' autorité de certification peut éviter cela. Et le certificat de vérification étendue (EV) n'est qu'un indicateur d'extension supplémentaire qui dit

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Notez le statut "Non critique"; tout logiciel est libre d'ignorer ce genre de choses. La seule chose qui empêche une autorité de certification d'ajouter cet indicateur à chaque certificat qu'elle signe est sa propre stratégie. En dehors de cela, ce n'est que quelques octets ajoutés au fichier de certificat avant de signer le certificat.

Donc, fondamentalement, tout cela revient à avoir une sécurité qui correspond à l' autorité de certification la plus faible jamais acceptée dans les navigateurs. La "classe de certificat" n'existe techniquement qu'à l' intérieur de l'étiquette CA visible par l'utilisateur, de sorte qu'elle n'a aucune différence réelle dans la sécurité. Étant donné que toutes les autorités de certification sont techniquement les mêmes, cela ne fait pratiquement aucune différence si la stratégie réellement appliquée d'une seule autorité de certification est réellement saine - c'est parce que l'attaquant potentiel peut toujours utiliser une autre autorité de certification pour obtenir son faux certificat.

Je recommande fortement de regarder la conférence de Moxie Marlinspike intitulée "SSL et l'avenir de l'authenticité" donnée dans Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . il vous aide à comprendre pourquoi le système CA actuel est très faible.

Je recommande d'acheter tout certificat qui reçoit des avertissements par défaut pour se taire dans votre logiciel client. Si vous voulez un badge plus agréable dans l'interface utilisateur du navigateur, achetez n'importe quel certificat EV. Si et quand vous avez besoin de plus de sécurité, vérifiez toujours vous-même l'empreinte digitale du certificat; ne faites jamais confiance à une autorité de certification tierce pour faire son travail correctement.

Mikko Rantalainen
la source
3

Pas assez. La plupart des fournisseurs de certificats de bonne réputation font toute cette liste de contrôle de classe 3. Un certificat EV n'est qu'une version très approfondie des mêmes vérifications, et vous pouvez échouer ces vérifications pour de nombreuses autres raisons que les vérifications «régulières».

sysadmin1138
la source