Certificado SSL Clase 2 vs Clase 3 vs Clase 4

20

Acabo de recibir un formulario de "Certificado SSL EV Premium" GoDaddy.com. Aparentemente, a partir de hace 8 meses, GoDaddy no proporciona certificados de Clase 3. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) También mencionaron el uso de certificados para ser:

Clase 1 para individuos, destinada a correo electrónico.

Clase 2 para organizaciones, para las cuales se requiere prueba de identidad.

Clase 3 para servidores y firma de software, para los cuales la autoridad de certificación emisora ​​realiza la verificación y verificación independientes de identidad y autoridad.

Clase 4 para transacciones comerciales en línea entre empresas.

Clase 5 para organizaciones privadas o seguridad gubernamental

  1. ¿No es la validación del certificado EV igual a una validación de Clase 3? ¿Por qué los certificados EV no son solo de clase 3?
  2. ¿Las personas usan certificados de clase 4? Técnicamente utilizamos nuestro certificado para un jabón de B a B. ¿Cuál caería en la clase 4. ¿Es realmente necesaria una clase 4?
  3. ¿Dónde está una lista de las CA y los certificados que emiten?
  4. Dado que se reduce al cifrado, ¿hay alguna diferencia importante entre los certificados, además de la validación, de que usted dice que es quién es?
  5. ¿Qué determina si una CA puede otorgar Certificados Clase 2 vs Clase 3 y Clase 4?

¡Gracias!

ssl-certificate encryption jneff
fuente

Respuestas:

17

Exageración de marketing (y costo). Esto no es parte de la especificación. Esto es de Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Clases definidas por el vendedor

VeriSign utiliza el concepto de clases para diferentes tipos de certificados digitales [3]:

  • Clase 1 para individuos, destinada a correo electrónico.
  • Clase 2 para organizaciones, para las cuales se requiere prueba de identidad.
  • Clase 3 para servidores y firma de software, para los cuales la autoridad de certificación emisora ​​realiza la verificación y verificación independientes de identidad y autoridad.
  • Clase 4 para transacciones comerciales en línea entre empresas.
  • Clase 5 para organizaciones privadas o seguridad gubernamental.

Otros proveedores pueden optar por usar diferentes clases o ninguna clase, ya que esto no está especificado en el protocolo SSL, aunque la mayoría opta por usar clases de alguna forma.

Esto es nuevo (ish). Solían verificar todas las solicitudes para asegurarse de que eras quien dijiste que eras. Esto ha desaparecido para que pueda obtener un certificado en unos minutos en lugar de unos días.

kls
fuente
Entonces, ¿por qué GoDaddy es una "Autoridad de certificación Go Daddy Clase 2"? ¿Hay clases de autoridades de certificación?
jneff
8
@jneff: GoDaddy tiene una CA a la que llaman "Autoridad de certificación GoDaddy Clase 2". Pueden nombrar sus CA internas como quieran. Pueden llamarlo "GoDaddy Class Asparagus CA" si lo desean.
David Schwartz
5

Cualquier valor de "Clase de certificado" es puramente material de marketing. Técnicamente, una "Autoridad de certificación" (CA) es solo un certificado SSL / TLS normal en el Almacén de certificados preinstalado del navegador, excepto por el hecho de que estos certificados no incluyen el indicador de extensión adicional que está incrustado en casi todos los certificados normales:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Técnicamente, cualquier CA en el Almacén de certificados de su navegador puede crear certificados de CA adicionales simplemente al no incluir esta extensión en el certificado que firman y solo la política de CA puede evitar eso. Y el certificado de Verificación Extendida (EV) es solo un indicador de extensión adicional que dice

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Observe el estado "No crítico"; cualquier software es libre de ignorar estas cosas. Lo único que impide que una CA agregue este indicador a cada certificado que firme es su propia política. Aparte de eso, solo se agregan un par de bytes al archivo del certificado antes de firmar el certificado.

Básicamente, todo esto se reduce a tener una seguridad que coincida con la CA más débil que se haya aceptado en los navegadores. La "Clase de certificado" existe técnicamente solo dentro de la etiqueta de CA visible del usuario, por lo que no tiene ninguna diferencia real en la seguridad. Debido a que todas las CA son técnicamente iguales, hace casi cero la diferencia si la política realmente aplicada de una sola CA es realmente sensata; esto se debe a que el atacante potencial siempre puede usar alguna otra CA para obtener su certificado falso.

Recomiendo encarecidamente ver la charla de Moxie Marlinspike llamada "SSL y el futuro de la autenticidad" dada en Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA . Le ayuda a comprender por qué el sistema de CA actual es muy débil.

Recomiendo comprar cualquier certificado que reciba advertencias predeterminadas para que se quede en silencio en su software de cliente. Si desea una mejor insignia en la interfaz de usuario del navegador, compre cualquier certificado EV. Si y cuando se necesita más seguridad, siempre comprobar la huella digital del certificado por sí mismo; nunca confíe en un CA externo para hacer sus cosas correctamente.

Mikko Rantalainen
fuente
3

No exactamente. La mayoría de los proveedores de certificados acreditados hacen toda esa lista de verificación de Clase 3. Un certificado EV es solo una versión más exhaustiva de las mismas verificaciones, y puede fallar esas verificaciones por muchas más razones que las 'regulares'.

sysadmin1138
fuente