Я только что получил от GoDaddy.com «Премиальный сертификат EV SSL». По всей видимости, 8 месяцев назад GoDaddy не предоставляет сертификаты класса 3. (http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/) Они также отметили, что использование сертификатов:
Класс 1 для физических лиц, предназначен для электронной почты.
Класс 2 для организаций, для которых требуется подтверждение личности.
Класс 3 для серверов и подписи программного обеспечения, для которых независимая проверка и проверка личности и полномочий выполняется центром сертификации.
Класс 4 для деловых операций в Интернете между компаниями.
Класс 5 для частных организаций или государственной безопасности
Спасибо!
Маркетинговый ажиотаж (и стоимость). Это не часть спецификации. Это из Википедии:
http://en.wikipedia.org/wiki/Public_key_certificate
Классы, определенные поставщиком
VeriSign использует концепцию классов для различных типов цифровых сертификатов [3]:
Другие поставщики могут выбрать использование других классов или отсутствие классов вообще, поскольку это не указано в протоколе SSL, хотя большинство из них предпочитают использовать классы в той или иной форме.
Это ново (иш). Раньше они фактически проверяли все запросы, чтобы убедиться, что вы были тем, кем себя называли. Это отошло на второй план, поэтому вы можете получить сертификат за несколько минут вместо нескольких дней.
Любое значение «Сертификат класса» - это чисто маркетинговый ход. Технически, «Центр сертификации» (CA) - это просто обычный сертификат SSL / TLS в предварительно установленном хранилище сертификатов браузера, за исключением того факта, что эти сертификаты не включить дополнительный флаг расширения, который встроен практически в каждый нормальный сертификат:
Certificate Basic Constraints
Critical
Is not a Certificate Authority
Технически любой ЦС в Хранилище сертификатов вашего браузера может создавать дополнительные сертификаты ЦС, просто не включая это расширение в сертификат, который они подписывают, и только ЦС политика можно этого избежать. А сертификат расширенной проверки (EV) - это просто дополнительный флаг расширения, который говорит
Certificate Policies
Not Critical
Extended Validation (EV) SSL Server Certificate
Обратите внимание на статус «Не критично»; любое программное обеспечение может игнорировать этот материал. Единственное, что не позволяет ЦС добавлять этот флаг к каждому подписываемому сертификату, - это их собственная политика. Кроме того, перед подписанием сертификата в файл сертификата добавляется всего пара байтов.
По сути, все сводится к обеспечению безопасности, соответствующей самый слабый CA, который когда-либо был принят в браузерах. «Сертификат класса» технически существует. только внутри видимой для пользователя метки CA, так что у него нет реальных различий в безопасности. Поскольку все центры сертификации технически одинаковы, практически нет разницы, является ли фактически применяемая политика одного центра сертификации разумной - это потому, что потенциальный злоумышленник всегда может использовать какой-либо другой центр сертификации для получения своего поддельного сертификата.
Я очень рекомендую посмотреть разговор Мокси Марлинспайк под названием «SSL и будущее аутентичности» в издании Black Hat USA 2011: http://www.youtube.com/watch?v=Z7Wl2FW2TcA. это поможет вам понять, почему текущая система CA очень слабая.
Рекомендую купить любой сертификат, который по умолчанию получает предупреждения о необходимости молчать в вашем клиентском программном обеспечении. Если вам нужен более красивый значок в пользовательском интерфейсе браузера, приобретите любой Сертификат электромобиля. Если и когда вам нужна дополнительная безопасность, всегда проверяйте отпечаток сертификата самостоятельно; никогда не доверяй любой сторонний центр сертификации для правильной работы.
Не совсем. Самые уважаемые поставщики сертификатов выполняют все эти контрольные списки Класса 3. Сертификат EV - это просто дополнительная тщательная версия тех же проверок, и вы можете не пройти эти проверки по множеству других причин, чем «обычные».