Saya baru saja mendapat formulir "Premium EV SSL Certificate" GoDaddy.com. Rupanya sejak 8 bulan lalu GoDaddy tidak memberikan Sertifikat Kelas 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Mereka juga menemukan penggunaan sertifikat sebagai:
Kelas 1 untuk individu, ditujukan untuk email.
Kelas 2 untuk organisasi, yang memerlukan bukti identitas.
Kelas 3 untuk penandatanganan server dan perangkat lunak, yang verifikasi dan pengecekan identitas dan otoritas independen dilakukan oleh otoritas sertifikat yang menerbitkan.
Kelas 4 untuk transaksi bisnis online antar perusahaan.
Kelas 5 untuk organisasi swasta atau keamanan pemerintah
- Bukankah validasi sertifikat EV sama dengan validasi Kelas 3? Mengapa sertifikat EV bukan hanya kelas 3?
- Apakah orang menggunakan Sertifikat Kelas 4? Secara teknis kami menggunakan sertifikat kami untuk B hingga B SABUN. Yang mana yang termasuk dalam Kelas 4. Apakah kelas 4 benar-benar dibutuhkan?
- Di mana daftar CA dan sertifikat yang dikeluarkannya?
- Karena itu bermuara pada enkripsi apakah ada perbedaan besar antara sertifikat selain validasi yang Anda katakan Anda adalah siapa Anda?
- Apa yang menentukan apakah CA dapat memberikan Sertifikat Kelas 2 vs Kelas 3 dan Class4?
Terima kasih!
sumber
Nilai "Kelas Sertifikat" apa pun adalah murni barang pemasaran. Secara teknis, "Otoritas Sertifikat" (CA) hanyalah sertifikat SSL / TLS biasa di Peramban Sertifikat yang diinstal sebelumnya, kecuali kenyataan bahwa sertifikat ini tidak menyertakan bendera ekstensi tambahan yang tertanam di dalam hampir semua sertifikat normal:
Secara teknis, CA mana pun di Toko Sertifikat browser Anda dapat membuat sertifikat CA tambahan hanya dengan tidak memasukkan ekstensi ini dalam sertifikat yang mereka tandatangani dan hanya kebijakan CA yang dapat menghindarinya. Dan sertifikat Extended Verification (EV) hanyalah tanda ekstensi tambahan yang bertuliskan
Perhatikan status "Tidak Kritis"; perangkat lunak apa pun bebas untuk mengabaikan hal ini. Satu-satunya hal yang mencegah CA dari menambahkan bendera ini ke setiap sertifikat yang mereka tandatangani adalah kebijakan mereka sendiri. Selain itu, itu hanya beberapa byte yang ditambahkan ke file sertifikat sebelum menandatangani sertifikat.
Jadi pada dasarnya ini semua bermuara pada memiliki keamanan yang cocok dengan CA terlemah yang pernah diterima ke browser. "Kelas Sertifikat" secara teknis hanya ada di dalam label CA yang terlihat pengguna sehingga tidak memiliki perbedaan nyata dalam keamanan. Karena semua CA secara teknis sama, hampir tidak ada bedanya jika kebijakan sebenarnya dari satu CA benar-benar waras - ini karena penyerang potensial selalu dapat menggunakan CA lain untuk mendapatkan sertifikat palsu.
Saya sangat merekomendasikan menonton ceramah oleh Moxie Marlinspike yang disebut "SSL Dan Masa Depan Keaslian" yang diberikan di Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . ini membantu Anda memahami mengapa sistem CA saat ini sangat lemah.
Saya akan merekomendasikan membeli sertifikat apa pun yang mendapat peringatan default agar tidak digunakan di perangkat lunak klien Anda. Jika Anda ingin lencana yang lebih bagus di UI browser, beli sertifikat EV apa pun . Jika dan ketika Anda membutuhkan keamanan lebih, selalu periksa sidik jari sertifikat sendiri; jangan pernah mempercayai CA pihak ketiga mana pun untuk melakukan hal-hal mereka dengan benar.
sumber
Tidak terlalu. Sebagian besar vendor Sertifikat terkemuka melakukan semua daftar periksa Kelas 3 itu. Sertifikat EV hanyalah versi ekstra menyeluruh dari cek yang sama, dan Anda dapat gagal memeriksa itu untuk banyak alasan yang lebih 'biasa'.
sumber