Sertifikat SSL Kelas 2 vs Kelas 3 vs Kelas 4

20

Saya baru saja mendapat formulir "Premium EV SSL Certificate" GoDaddy.com. Rupanya sejak 8 bulan lalu GoDaddy tidak memberikan Sertifikat Kelas 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Mereka juga menemukan penggunaan sertifikat sebagai:

Kelas 1 untuk individu, ditujukan untuk email.

Kelas 2 untuk organisasi, yang memerlukan bukti identitas.

Kelas 3 untuk penandatanganan server dan perangkat lunak, yang verifikasi dan pengecekan identitas dan otoritas independen dilakukan oleh otoritas sertifikat yang menerbitkan.

Kelas 4 untuk transaksi bisnis online antar perusahaan.

Kelas 5 untuk organisasi swasta atau keamanan pemerintah

  1. Bukankah validasi sertifikat EV sama dengan validasi Kelas 3? Mengapa sertifikat EV bukan hanya kelas 3?
  2. Apakah orang menggunakan Sertifikat Kelas 4? Secara teknis kami menggunakan sertifikat kami untuk B hingga B SABUN. Yang mana yang termasuk dalam Kelas 4. Apakah kelas 4 benar-benar dibutuhkan?
  3. Di mana daftar CA dan sertifikat yang dikeluarkannya?
  4. Karena itu bermuara pada enkripsi apakah ada perbedaan besar antara sertifikat selain validasi yang Anda katakan Anda adalah siapa Anda?
  5. Apa yang menentukan apakah CA dapat memberikan Sertifikat Kelas 2 vs Kelas 3 dan Class4?

Terima kasih!

ssl-certificate encryption jneff
sumber

Jawaban:

17

Promosi pemasaran (dan biaya). Ini bukan bagian dari spesifikasi. Ini dari Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Kelas yang ditentukan vendor

VeriSign menggunakan konsep kelas untuk berbagai jenis sertifikat digital [3]:

  • Kelas 1 untuk individu, ditujukan untuk email.
  • Kelas 2 untuk organisasi, yang memerlukan bukti identitas.
  • Kelas 3 untuk penandatanganan server dan perangkat lunak, yang verifikasi dan pengecekan identitas dan otoritas independen dilakukan oleh otoritas sertifikat yang menerbitkan.
  • Kelas 4 untuk transaksi bisnis online antar perusahaan.
  • Kelas 5 untuk organisasi swasta atau keamanan pemerintah.

Vendor lain dapat memilih untuk menggunakan kelas yang berbeda atau tidak ada kelas sama sekali karena ini tidak ditentukan dalam protokol SSL, meskipun, sebagian besar memang memilih untuk menggunakan kelas dalam beberapa bentuk.

Ini baru (ish). Mereka dulu benar-benar memverifikasi semua permintaan untuk memastikan Anda adalah siapa yang Anda katakan. Ini telah berlalu di pinggir jalan sehingga Anda bisa mendapatkan sertifikat dalam beberapa menit, bukan beberapa hari.

kls
sumber
Jadi mengapa GoDaddy menjadi "Go Daddy Class 2 Certification Authority"? Apakah ada kelas Otoritas Sertifikat?
jneff
8
@jneff: GoDaddy memiliki CA yang mereka sebut "GoDaddy Class 2 Certification Authority". Mereka dapat memberi nama CA internal mereka apa pun yang mereka inginkan. Mereka dapat menyebutnya "GoDaddy Class Asparagus CA" jika mereka mau.
David Schwartz
5

Nilai "Kelas Sertifikat" apa pun adalah murni barang pemasaran. Secara teknis, "Otoritas Sertifikat" (CA) hanyalah sertifikat SSL / TLS biasa di Peramban Sertifikat yang diinstal sebelumnya, kecuali kenyataan bahwa sertifikat ini tidak menyertakan bendera ekstensi tambahan yang tertanam di dalam hampir semua sertifikat normal:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Secara teknis, CA mana pun di Toko Sertifikat browser Anda dapat membuat sertifikat CA tambahan hanya dengan tidak memasukkan ekstensi ini dalam sertifikat yang mereka tandatangani dan hanya kebijakan CA yang dapat menghindarinya. Dan sertifikat Extended Verification (EV) hanyalah tanda ekstensi tambahan yang bertuliskan

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Perhatikan status "Tidak Kritis"; perangkat lunak apa pun bebas untuk mengabaikan hal ini. Satu-satunya hal yang mencegah CA dari menambahkan bendera ini ke setiap sertifikat yang mereka tandatangani adalah kebijakan mereka sendiri. Selain itu, itu hanya beberapa byte yang ditambahkan ke file sertifikat sebelum menandatangani sertifikat.

Jadi pada dasarnya ini semua bermuara pada memiliki keamanan yang cocok dengan CA terlemah yang pernah diterima ke browser. "Kelas Sertifikat" secara teknis hanya ada di dalam label CA yang terlihat pengguna sehingga tidak memiliki perbedaan nyata dalam keamanan. Karena semua CA secara teknis sama, hampir tidak ada bedanya jika kebijakan sebenarnya dari satu CA benar-benar waras - ini karena penyerang potensial selalu dapat menggunakan CA lain untuk mendapatkan sertifikat palsu.

Saya sangat merekomendasikan menonton ceramah oleh Moxie Marlinspike yang disebut "SSL Dan Masa Depan Keaslian" yang diberikan di Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . ini membantu Anda memahami mengapa sistem CA saat ini sangat lemah.

Saya akan merekomendasikan membeli sertifikat apa pun yang mendapat peringatan default agar tidak digunakan di perangkat lunak klien Anda. Jika Anda ingin lencana yang lebih bagus di UI browser, beli sertifikat EV apa pun . Jika dan ketika Anda membutuhkan keamanan lebih, selalu periksa sidik jari sertifikat sendiri; jangan pernah mempercayai CA pihak ketiga mana pun untuk melakukan hal-hal mereka dengan benar.

Mikko Rantalainen
sumber
3

Tidak terlalu. Sebagian besar vendor Sertifikat terkemuka melakukan semua daftar periksa Kelas 3 itu. Sertifikat EV hanyalah versi ekstra menyeluruh dari cek yang sama, dan Anda dapat gagal memeriksa itu untuk banyak alasan yang lebih 'biasa'.

sysadmin1138
sumber