SSL証明書クラス2対クラス3対クラス4

20

GoDaddy.comから「プレミアムEV SSL証明書」を受け取りました。8か月前のようにGoDaddyはクラス3証明書を提供していません。(http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-c​​lass-is-my-cert/)彼らはまた、証明書の使用を次のように定めました。

電子メールを対象とした個人向けのクラス1。

IDの証明が必要な組織のクラス2。

サーバーおよびソフトウェア署名用のクラス3。これについては、発行元の認証局によって独自の検証とIDおよび権限の確認が行われます。

企業間のオンラインビジネストランザクションのクラス4。

民間組織または政府のセキュリティ向けのクラス5

  1. EV証明書の検証は、クラス3の検証と同じではありませんか?EV証明書がクラス3だけではないのはなぜですか?
  2. 人々はクラス4証明書を使用しますか?技術的には、B to B SOAPの証明書を使用します。どちらがクラス4に該当しますか?クラス4は本当に必要ですか?
  3. CAとそれらが発行する証明書のリストはどこにありますか?
  4. それは暗号化に要約されるので、あなたがあなたが本人であると言うことの検証以外に証明書間に大きな違いがありますか?
  5. CAがクラス2証明書とクラス3証明書およびクラス4証明書を配布できるかどうかを決定するものは何ですか?

ありがとう!

ssl-certificate  encryption 
ジュネフ
ソース

回答:

17

マーケティングの誇大広告(およびコスト)。これは仕様の一部ではありません。これはウィキペディアからです:

http://en.wikipedia.org/wiki/Public_key_certificate

ベンダー定義のクラス

VeriSignは、さまざまな種類のデジタル証明書にクラスの概念を使用します[3]:

  • 電子メールを対象とした個人向けのクラス1。
  • IDの証明が必要な組織のクラス2。
  • サーバーおよびソフトウェア署名用のクラス3。これについては、発行元の認証局によって独自の検証とIDおよび権限の確認が行われます。
  • 企業間のオンラインビジネストランザクションのクラス4。
  • 民間組織または政府のセキュリティ向けのクラス5。

他のベンダーは、SSLプロトコルで指定されていないため、異なるクラスを使用するか、クラスをまったく使用しないことを選択できますが、ほとんどの場合、何らかの形式でクラスを使用することを選択します。

これは新しいです。彼らは、実際にすべてのリクエストを検証して、あなたがあなたが言ったとおりの人物であることを確認していました。これは途中で行われたため、数日ではなく数分で証明書を取得できます。

kls
ソース
それでは、GoDaddyが「Go Daddy Class 2 Certification Authority」なのはなぜですか?認証局のクラスはありますか?
-jneff
8
@jneff:GoDaddyには、「GoDaddy Class 2 Certification Authority」と呼ばれるCAがあります。内部CAには任意の名前を付けることができます。必要に応じて、「GoDaddy Class Asparagus CA」と呼ぶことができます。
デビッドシュワルツ
5

「Certificate Class」の値は、純粋にマーケティング用のものです。技術的には、「認証局」(CA)はブラウザーのプリインストールされた証明書ストアにある通常のSSL / TLS証明書です。ただし、これらの証明書にはほとんどすべての通常の証明書に埋め込まれる追加の拡張フラグが含まれませ

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

技術的には、ブラウザの証明書ストアにあるCA は、署名する証明書にこの拡張を含めないことで追加のCA証明書を作成でき、CA ポリシーのみがそれを回避できます。また、拡張検証(EV)証明書は、追加の拡張フラグであり、

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

「Not Critical」ステータスに注意してください。ソフトウェアは、このようなものを無視できます。CAが署名するすべての証明書にこのフラグを追加できないようにする唯一のことは、独自のポリシーです。それ以外は、証明書に署名する前に証明書ファイルに追加されるのはほんの数バイトです。

つまり、基本的にこれはすべて、ブラウザーに受け入れられた最も弱い CAに一致するセキュリティを持つことになります。「証明書クラス」は技術的にはユーザーに表示されるCAラベル内にのみ存在するため、セキュリティの現実世界の違いはゼロです。すべてのCAは技術的に同じであるため、単一のCAの実際に適用されるポリシーが実際に正しければ、差はほとんどありません。これは、潜在的な攻撃者が常に別のCAを使用して偽の証明書を取得できるためです。

私は非常にで話を見てお勧め元気Marlinspike氏:ブラックハットUSA 2011年に与えられた「真正性のSSLそして未来」と呼ばれるhttp://www.youtube.com/watch?v=Z7Wl2FW2TcA。現在のCAシステムが非常に弱い理由を理解するのに役立ちます。

クライアントソフトウェアでサイレント状態にするために、デフォルトの警告が表示される証明書を購入することをお勧めします。ブラウザーのUIにバッジを追加する場合は EV証明書を購入してください。した場合とき、あなたがより多くのセキュリティを必要とし、常に自分で証明書のフィンガープリントを確認してください。信用したことがない任意の適切自分の作品を行うには、サードパーティのCAを。

ミッコ・ランタライネン
ソース
3

そうでもない。ほとんどの信頼できる証明書ベンダーは、そのクラス3チェックリストをすべて実行します。EV証明書は、同じチェックのさらに徹底したバージョンであり、「通常の」チェックよりも多くの理由でこれらのチェックに失敗する可能性があります。

sysadmin1138
ソース
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.