Обычно я использовал самозаверяющие сертификаты, но теперь мне нужен подходящий по минимальной цене.
С момента создания «центра сертификации» с makecert на самом деле просто означает создание пары открытого / закрытого ключей, кажется довольно очевидным, что создание пары открытого / закрытого ключей из такого «центра сертификации» на самом деле означает создание второй пары открытого / закрытого ключей и подписание обоих закрытым ключом, который принадлежит в «центр сертификации». Поскольку ключи подписаны, любой может проверить, что они получены из созданного мной центра сертификации, или, если Verisign предоставила мне пару, они подписывают ее одним из своих закрытых ключей, и любой может использовать соответствующий открытый ключ Verisign для подтверждения verisign в качестве источника ключи.
Учитывая это, я не понимаю, почему Verisign или Godaddy имеют ставки только на годовые планы, когда все, что мне действительно нужно от них, - это одна пара открытого / закрытого ключей, подписанная одним из их закрытых ключей.
Ясно, что я что-то неправильно понимаю, что это? Периодически удаляет ли Verisign свои пары открытого / закрытого ключей, чтобы моя пара подписанных Verisign ключей «истекла» и мне потребовались новые?
Изменить: я узнал, что сертификат имеет внутреннюю дату истечения срока действия, а также поддерживает внутреннее значение, указывающее, можно ли его использовать для подписи других сертификатов (т.е. подписать другие пары закрытого / открытого ключей, хранящиеся как сертификаты). Разве я не могу получить несколько (даже один) сертификатов без подписи, подписанных кем-то вроде Verisign, которые я могу использовать для аутентификации / шифрования без годовой подписки?
В зависимости от авторизации подписи проверка может быть довольно обширной (и, следовательно, дорогостоящей для органа). Это увеличит стоимость сертификата. Обычно стоимость сертификата будет зависеть от уровня проверки. Новая технология позволяет отображать некоторую степень доверия с помощью цветного уведомления в адресной строке.
Срок действия сертификата центра сертификации обычно истекает каждые десять лет или около того. Некоторое время потребуется для развертывания сертификатов в кэше сертификатов браузера, поэтому их нельзя использовать в течение первого или двух лет. Последние год или два они не будут полезны, поскольку срок действия ключа подписи истечет раньше, чем истечет срок действия подписанного ключа.
Подписывая ваш ключ, центр сертификации, по сути, заявляет, что мы доверяем держателю этого сертификата, поэтому вы тоже можете доверять ему. Им следует периодически проверять это доверие, поэтому срок действия сертификатов истекает.
CRL, если они предоставлены и отмечены, позволяют подписывающему органу заявить, что они больше не доверяют держателю ключа. Это может происходить по разным причинам; украденный ключ, неправильно выданный ключ, ключ больше не используется или по другой причине. Срок действия сертификата можно использовать для уменьшения размера базы данных CRL.
Некоторые подписывающие органы будут выдавать многолетние сертификаты. Это может быть доступно только для сертификатов продления.
Как только вы начнете использовать сертификаты, вы обязуетесь поддерживать соответствующие доверительные отношения. Это будет включать периодическое развертывание обновляемых сертификатов.
Ежегодные сборы позволяют вам перевыпустить и обновить сертификат в любое время после того, как вы пройдете первоначальный процесс. Срок действия ваших сертификатов не истекает автоматически, когда истекает ваша подписка; например, даже с нашей годовой подпиской, наши сертификаты имеют двухлетний срок действия (а корневые сертификаты, на которых они основаны, больше примерно 10 лет). Вы можете подписывать с ним свои собственные сертификаты, и они будут действовать до тех пор, пока вы укажете, что они должны быть, если они были подписаны сертификатом, действующим в то время. По моему опыту, расширенная проверка цепочки сертификатов редко выполняется в браузерах и других клиентах SSL.
Компании по созданию сертификатов истекают сроком действия сертификатов частично, чтобы заставить вас идти в ногу с разработками в области безопасности SSL (например, переход с 512 бит на 2048 или на EC вместо RSA), частично для защиты вас и всех остальных на случай, если один из ваших сертификатов выйдет из строя. или сохраняется и взламывается спустя долгое время после того, как вы думаете, что он исчез, отчасти для того, чтобы периодически проверять вас на случай, если вы измените имя, уйдете из бизнеса или что-то еще. Это часть их цепочки доверия. Если они узнают об этом раньше, они могут немедленно выпустить CRL, но если нет, ваши старые сертификаты, естественно, истекут без дополнительных усилий.
И это тоже поток доходов, это бизнес.
Убедитесь, что у вас есть сертификат для подписи сертификатов, если вы хотите быть своим собственным центром сертификации, и будьте готовы к нескольким головным болям, связанным с объединением всех сертификатов в цепочке, когда вы собираетесь их использовать.
Сертификаты должны иметь срок годности, потому что часть хорошей практики шифрования - это управление ключами. Несмотря на то, что сегодня ваш закрытый ключ находится в безопасности, завтра он может быть обнаружен в результате некоторого нарушения безопасности данных - чем дольше вы продолжаете использовать ключ, тем выше вероятность его взлома.
Если существовал бессрочный сертификат, указывающий этот скомпрометированный ключ, кто-то мог использовать этот сертификат со скомпрометированным ключом, чтобы выдать себя за вас. навсегда. С механизмом истечения срока действия они могут выполнять это только до истечения срока действия сертификата.
Я бы предположил, что они ставят дату истечения срока действия сертификатов, которые они выдают, чтобы оставаться в бизнесе.
Если вы хотите попробовать бесплатный центр сертификации, попробуйте CAcert или StartCom. Однако ваши клиенты могут настоять на использовании более «известного» центра сертификации, такого как VeriSign.