שְׁאֵלָה:
האם כל אישורי ה- SSL שווים?
Kyle Rosendo
2012-04-04 12:21:26 UTC
view on stackexchange narkive permalink

לאחר שהרצתי כמה בדיקות מכלי מעבדות SSL של Qualsys, ראיתי שיש הבדלי דירוג משמעותיים למדי בין תעודת GoDaddy ו- VeriSign שבדקתי נגדה.

האם כל אישורי ה- SSL מספקים שונים שווים? אם לא, על מה צריך לבסס את החלטתם? נכון לעכשיו אני מאמין שרוב האנשים ישקלו את העלות לעומת המותג (כלומר: GoDaddy ~ 70.00 $ לעומת Verisign ~ 1,500.00 $).

יש לי תחושה ממה שראיתי שהרבה מזה תלוי גם על אופן הטמעת ה- SSL בפועל - האם זו תהיה מסקנה מדויקת יותר?

לשם הבהרה:

לשני הדוחות האלה יש דירוג שווה לתעודה
חָמֵשׁ תשובות:
Lucas Kauffman
2012-04-04 12:32:27 UTC
view on stackexchange narkive permalink

הצהרת אחריות: תשובה זו מגיעה ישירות ממאמר eHow. אין הכוונה להפרה.

אישורי SSL לאימות דומיין

אישורי SSL מאומתים באמצעות דומיין משמשים לקביעת רמת אמון בסיסית עם אתר ולהוכיח שאתה מבקר באתר שאליו אתה מבקר. חושב שאתה מבקר. אישורים אלה מונפקים לאחר שמנפיק ה- SSL מאשר כי הדומיין תקף ונמצא בבעלות האדם המבקש את האישור. אין צורך להגיש ניירת כלשהי של החברה כדי להשיג אישור SSL לאימות דומיינים, וניתן להנפיק תעודות SSL מסוג זה במהירות רבה. החיסרון של אישורים מסוג זה הוא שכל אחד יכול להשיג אותם, והם אינם מחזיקים במשקל אמיתי פרט לאבטחת תקשורת בין דפדפן האינטרנט שלך לשרת האינטרנט.

אישורי SSL לאימות ארגון

תעודת SSL לאימות ארגון מונפקת לחברות ומספקת רמת אבטחה גבוהה יותר על אישור SSL של אימות תחום. תעודת אימות ארגון מחייבת לאמת פרטי חברה מסוימים יחד עם פרטי התחום והבעלים. היתרון של אישור זה על פני אישור אימות דומיין הוא בכך שהוא לא רק מצפין נתונים, אלא הוא מספק רמה מסוימת של אמון כלפי החברה שבבעלות האתר.

אישורי SSL של אימות מורחב

אישור SSL לאימות מורחב הוא תעודת SSL "בראש השורה". השגת אחת כזו מחייבת שחברה תעבור תהליך בדיקה כבד, ויש לאמת את כל פרטי החברה כאותנטיים ולגיטימיים לפני הוצאת האישור. בעוד שאישור זה עשוי להיראות דומה לתעודת SSL של אימות ארגון, ההבדל העיקרי הוא רמת האימות והאימות המתבצעת על בעל הדומיין ועל החברה שמבקשת את האישור. רק חברה שעוברת חקירה יסודית רשאית להשתמש בתעודת SSL של אימות מורחב. אישור מסוג זה מוכר על ידי דפדפנים מודרניים ומסומן על ידי פס צבעוני בחלק ה- URL של הדפדפן.

בנוסף, ל- OV לעומת EV יש השפעה גם מבחינת סכומי הביטוח ב מקרה של פשרה. פרמיית הביטוח עבור רכב EV גבוהה הרבה יותר מאשר עם רכב OV.

קרא עוד / מקורי: מיקי וולבורג, הבדלים בתעודות SSL | eHow.com

רק תעודות SSL של EV מספקות לך את שורת הכתובת הירוקה; סרטי OV לא.
"החיסרון בתעודות [DV] הוא שכל אחד יכול להשיג אותן". לא ממש: אתה עדיין צריך להיות הבעלים של התחום, וזה במקרים רבים מספיק טוב.
מידע זה מכיל מספר אי דיוקים. כפי שכבר הוזכר, זה לא נכון ש"כל אחד יכול לקבל "תעודת DV וגם שהם" לא מחזיקים במשקל אמיתי "- הדפדפנים סומכים עליהם ללא אזהרות כמו כל תעודה אחרת, הם פשוט לא מראים" פס ירוק "(זה נכון באותה מידה לגבי סרטי OV). תעודות OV / EV אינן באמת מספקות "רמת אבטחה גבוהה יותר" לפחות לא במובן הטכני - אבטחה אינה נקבעת על פי סוג האישור, אלא רק שהתעודה הושגה באופן חוקי. תעודות OV אינן נותנות לך לבטוח בחברה, רק תגיד לך מי החברה. תעודות EV אינן מספקות "אמינות" נוספת.
כל מה שמסמכי OV ו- EV עושים זה להראות שהמנפיק אימת פרטים נוספים על הארגון מאשר רק שם התחום שלהם - כמו שם החברה - ובמקרה של EV זה בא לידי ביטוי בדפדפן עם "פס ירוק" והחברה. שם מוצג. ל- OV אין פס ירוק ולכן היתרונות שלו על פני DV אינם נראים לרוב המשתמשים. אין צורך לדבר במעורפל על "אבטחה נוספת" או "אמינות" כאילו אלה קשורים ישירות, וברור שהתעודה לעולם לא מאמת ש חברה "אמינה", רק שהיא מי שהיא טוענת שהיא. חברות רעות יכולות לרכוש תעודות EV.
@fjw אתה צודק, הסרתי את המשפט הזה. אני חושב שההבדל העיקרי הוא ככל הנראה יותר ביחס לסכומי הביטוח.
הערה: שום ביקורת לא נועדה כלפייך מכיוון שהמידע הוא ממאמר eHow. זה רק אחד ממאות מאמרים לא מדויקים ומטעים באינטרנט על ההבדלים בין סוגי האישורים.
@LucasKauffman הקישורים שלך מפנים עכשיו והתוכן בקישור החדש אינו תואם לציטוטים שלך
Bruno
2012-04-09 22:35:54 UTC
view on stackexchange narkive permalink
בסופו של דבר באחריות המשתמש של הלקוח לבדוק את תקפות האישור. כספק שירות, מלבד חינוך המשתמש אם אתה יכול, אין הרבה מה שאתה יכול לעשות לצדך: אינך שולט אילו אישורים מהימנים על ידי הדפדפן של המשתמש ואינך יכול לדעת אם המשתמשים אימתו שהם משתמשים ב- SSL / TLS כראוי ולא התעלמו מהאזהרות הפוטנציאליות.

מה שאתה צריך לנסות להעריך הוא איך המשתמש שלך הולך להגיב ולבדוק את האישור שלך. אני מניח שקהל היעד באתר שלך אינו בהכרח מומחה או מומחה PKI. כיצד המשתמשים שלך יגיבו יהיה תלוי במה שהם למדו על תעודות. למרבה הצער, יש הרבה מידע סותר או מעורפל בנושא זה שם, אפילו שמקורו בעצמם CA (זכרו שלע"מ יש אינטרס אינטרס לגרום ללקוחות שלהם לרצות לרכוש תעודות יקרות יותר).

מצבי אימות

המטרה הכללית של אישור (מפתח ציבורי) היא לאגד זהות למפתח ציבורי (לכן לאגד את הזהות לשרת באמצעות המפתח הפרטי המתאים בלחיצת היד SSL ​​/ TLS).

לוקאס קאופמן כבר כתב תשובה המפרטת את ההבדל בין סרטי אימות תחום. , תעודות מאומתות ארגון ותעודות אימות מורחבות. השאלה האמיתית שאתה צריך לשאול את עצמך היא מה אתה מנסה להוכיח למשתמש.

ההבדל בין סוגים אלה של אישורים מגדירים את אותה זהות.

האישורים מאומתים הדומיין מבטיחים לך שהאישור הונפק לבעלים של אותו דומיין. לא יותר, אבל לא פחות (אני מניח שהליך האימות היה נכון כאן). במקרים רבים זה מספיק. הכל תלוי אם האתר שאתה מקדם צריך להיות מקושר למוסד שכבר לא ידוע באופן מקוון. אישורים המאומתים מול ארגון (תעודות OV ו- EV) שימושיים בעיקר כאשר אתה צריך לקשור את התחום גם לארגון פיזי.

לדוגמה, זה שימושי עבור מוסד שהיה ידוע בתחילה באמצעות בניין (למשל בנק אוף אמריקה) כדי להיות מסוגל לומר שאישור עבור bankofamerica.com אכן מיועד למקום בו נתת את הכסף הפיזי שלך. במקרה זה, הגיוני להשתמש בתעודת OV או EV. זה יכול להיות שימושי גם אם יש עמימות לגבי איזה מוסד עומד מאחורי שם הדומיין (למשל apple.com ו- apple.co.uk ), וזה חשוב עוד יותר הוא שם התחום הדומה נמצא בבעלות יריב / תוקף המשתמש בדמיון השם למטרות גרועות.

לעומת זאת, www.google.com הוא מה מגדיר את גוגל לציבור; לגוגל אין צורך להוכיח ש google.com שייך לגוגל האמיתי. כתוצאה מכך הוא משתמש באישור מאומת דומיין (אותו הדבר עבור amazon.com).

שוב, זה ממש שימושי אם המשתמש יודע לבדוק זאת. דפדפנים לא ממש עוזרים כאן. פיירפוקס פשוט אומר "שמנוהל על ידי (לא ידוע)" אם אתה רוצה פרטים נוספים על תעודת זהות בכתובת www.google.com , מבלי לומר באמת מה הכוונה בזה.

אישורי אימות מורחב הם ניסיון לשפר זאת על ידי הקפדה על הליך אימות הארגון ועל ידי הפיכת התוצאה לגלויה יותר: סרגל ירוק וארגון גלוי יותר.

למרבה הצער, לפעמים משתמשים בזה בדרך שמגבירה את הבלבול, אני חושב. הנה דוגמה שתוכלו לבדוק בעצמכם: אחד הבנקים הגדולים בבריטניה (NatWest) משתמש ב https://www.nwolb.com/ לצורך ההפעלה שלה- שירותי בנקאות קו. זה רחוק מלהיות ברור ששם הדומיין שייך ל- NatWest (שאף הוא בעל שם הגיוני יותר natwest.co.uk , אגב). גרוע מכך, האימות המורחב (אם תבדוק את השם לצד הסרגל הירוק) מתבצע כנגד "Royal Bank of Scotland Group plc":

EV certificate look

למי שעוקב אחר החדשות הכספיות, זה הגיוני מכיוון שגם RBS וגם NatWest שייכים לאותה קבוצה, אך מבחינה טכנית, RBS ו- NatWest הם מתחרים (ולשניהם סניפים ברחוב הראשי בבריטניה - אם כי זה הולך אם למשתמש שלך אין את הידע הנוסף הזה לגבי אילו קבוצות נסחרות תחת איזה שם, העובדה שמונפק אישור לשם של מתחרה פוטנציאלי צריכה להתקשר בפעמוני אזעקה. אם כמשתמש ראית אישור ב- gooooogle.com שהונפק למיקרוסופט או יאהו, אולם הסרגל ירוק ככל שיהיה, אתה לא צריך להתייחס לזה כאל האתר של גוגל.

אחד יש לזכור עם אישורי EV היא שהתצורה שלהם מקודדת בדפדפנים. זוהי הגדרה מסוג הידור, שלא ניתן להגדיר אותה בהמשך (בניגוד לחנויות אישורים מהימנות רגילות, בהן תוכל להוסיף תעודת CA מוסדית משלך, למשל). מנקודת מבט צינית יותר, יש שיכולים להחשיב זאת כדרך נוחה עבור השחקנים העיקריים לשמור על מעמדה חזקה בשוק.

חותמות

חלק מקבוצות הרשות מציעות גם שונות " חותמות "שתוכלו להכניס לאתר שלכם, בדרך כלל עם צבעים שונים בהתאם לסוג האישור שרכשתם. נראה שהם נועדו כצעד נוסף למניעת רשויות בעלות שם פחות מוכרות להנפיק תעודה תקפה לצד הלא נכון.

עד כמה שידוע לי, אלה חסרי תועלת לחלוטין מבחינה ביטחונית. ואכן, כאשר תלחץ עליו כדי לאמת את האישור שלך (לדוגמה, אם תלחץ על הלוגו "מאמת מאובטח" של GoDaddy, בסופו של דבר אתה נמצא על דף זה ), שום דבר לא אומר לך שהאישור שאתה רואה זהה לזה שנשלח לשירות שמאחורי seal.godaddy.com . אכן, אם היה בינך לבין example.com תוקף MITM, עם אישור תקף אחר ל- example.com שהונפק על ידי CA מרושל, התוקף MITM לא היה בין example.com ו- seal.godaddy.com . אלא אם כן המשתמש באמת יסתכל על האישור בפירוט, החותם לא היה עוזר מאוד (תוך התחשבות בכך שהתוקף יכול פשוט להסיר את קישור החותם או להפנות אותו אל אחד מה- CA השני).

ביטוחים

תעודות מסוימות מגיעות גם עם ביטוח כלשהו. היית מקבל פיצוי כלשהו אם משהו ישתבש במהלך עסקה עד לסכום מוגבל. לא ברור לי מה יהיו התנאים לתבוע ביטוח כזה.

באיזה אחד לבחור?

בסופו של יום, רוב המשתמשים שומרים על רשימת ברירת המחדל של רשות האישורים המהימנה. אישורים שמצורפים למערכת ההפעלה או לדפדפן שלהם. מכיוון שממשק המשתמש אינו מבחין בין רשימות CA בצורה ברורה מאוד, האבטחה הכוללת כפי שהיא נראית על ידי המשתמש (שאחריותו לבדוק את האישור) תונע על ידי המכנה המשותף הנמוך ביותר בכל קטגוריה (פס כחול וירוק).

אם חשוב לקשור את שם הדומיין לארגון "לבנים וטיח", כדאי לשקול תעודת EV. אני באופן אישי לא חושב שהאופן שבו ממשקי משתמש מבחינים בין סרטי DV ו- OV הוא מספיק טוב כדי להפוך את הצגת שם הארגון בסרגל כחול למועיל.

אם הדומיין שלך מוכר בעיקר (או אם אין כלל עמימות שהדומיין הוא שלך, מנקודת מבטו של המשתמש), עבור לכל תעודת סרגל כחול. (בדוק את פרטי הביטוח אם זה רלוונטי לאתר שלך.)

CA מסוימים מרמזים או טוענים בבירור כי ** EV פירושו קריפטו טוב יותר **, בנוסף לאימות זהות רציני. (נראה כי אין זה מרמז על כך שאינו EV פירושו אימות זהות של שמן נחש).
@curiousguy, "* יש CA שמעידים, או טוענים בבירור, כי EV פירושו קריפטו טוב יותר *" אני חייב להודות שמעולם לא שמתי לב לזה (האם יש לך קישור במקרה?), אבל זה יהיה שגוי לחלוטין. חוזק ההצפנה נקבע על ידי חבילת הצופן (וה- PRNG, אני מניח), שהיא עצמאית למדי בתעודה (למעט סוג המפתח, למשל RSA / DSA). כמובן, גודל המפתח חשוב, אתה מקבל פחות או יותר את אותם גדלי המפתח עבור תעודות EV.
אין לי קישור ואפילו לא זוכר איזה CA היה, אבל אני זוכר שהטענה הייתה בערך גודל מפתח RSA מינימלי מובטח לתעודות EV. במקום אחר קראתי טענה שאישור EV אינו משתמש ב- MD5 (בניגוד לסרטים רגילים). בעיני שתי הטענות למעשה נקראו: "הקישור הקריפטוגרפי החלש לא יהיה בתעודות EV, וייתכן שהוא נמצא בקטעים רגילים". IOW: אין שום טעם אלא אם כן אתה מתקן את נקודות התורפה.
@curiousguy, אתה צודק, עד כמה שזכור לי סרטי EV דורשים לפחות 2048 סיביות וללא MD5. עם זאת, אני חושב שסרטי CA מבוססי MD5 הוסרו מרוב תוכניות ההפצה של מערכת ההפעלה / הדפדפן. לא בטוח לגבי גודל המפתחות, אבל אפילו כמה אישורי CA זולים מקבלים רק CSR עם 2048 ביט או יותר.
אפילו אנשי מקצוע רשמיים טועים: http://googleonlinesecurity.blogspot.sg/2013/01/enhancing-digital-certificate-security.html
@Bruno, *** כל *** CAs מרמזים ש- DV הוא חומר שטויות שמשמש רק חובבנים, OV הוא "כל כך", ו- EV הוא מה שהילדים הגדולים משתמשים בו.ראיתי כבר כ -20 רשויות אישורים המרמזות על כך.זה תמיד מתחיל בניסוח לא מזיק "* רמה 1, 2, 3 *" וביטויים בעלי משמעות כפולה כמו "* מספקים את רמת האימות הנמוכה ביותר *".Digicert, בניסיון לשטוף את מוחו של העולם לבזבז יותר כסף על certs, הקפיץ את הכריש בסירובו לאפשר הרשמות DV מהסיבה "* [אנו סבורים שהחסרונות בהנפקת אישורים מאומתים דומיין עולים בהרבה על היתרונות] (https: //goo.gl/Wfgsx4)* ".
@Pacerier כן, זה בהחלט אפשרי.נכון שיכולות להיות בעיות עם סרטי DV, אך האינטרס המיוחד של אנשי תעודת זהות אלה למכור לך תעודות EV יקרות יותר, יחד עם העובדה שהם איכשהו הצליחו להשיג את עצמם בקוד קשה בקוד הדפדפן, הופכים אותם למוטים בעליל לצערי.
מלבד נושא DV / OV / EV זה, נראה כי חלק מקבוצות CA שומרות על בלבול טכני סביב מה שהם מקדמים ומה שמאכוף את האבטחה בפועל, למשל [שאלות נפוצות של RapidSSL] (https://www.rapidssl.com/learn-ssl/ ssl-faq /) "* רמת ההצפנה נקבעת על ידי היכולת של [...] אישור SSL, [...] *", שהוא אובייקטיבי [לא ממש נכון] (http: //security.stackexchange.com / a / 19555/2435) (בהנחה שיש ממילא תעודה עם סוג המפתח הנכון, אבל זה מספיק קל).
@Bruno, מהרווחים הקולקטיביים שלהם אנו יכולים לראות כי [confusopoly] (https://en.wikipedia.org/wiki/Confusopoly) אכן עובד טוב מאוד.סוג זה של עמימות כפולה בשפה ו [חוסר עקביות] (https://en.wikipedia.org/wiki/Consumer_confusion#Lack_of_consistency) מעניק לרשות המקצוענים הרבה הכחשה סבירה.לפחות אותם אישורי CA שהוקמו / נשלטו על ידי קודנים / מפתחים אמיתיים, ינסו *** להצדיק את עמדתם עם * מידע * ונתונים מסוימים, למשל https://certsimple.com/blog/domain-validated-ssl-google-com-mg
@Bruno: למרות שזה עשוי להיות מבלבל, הטענה שלהם לא נכונה באופן מדויק.ישנם מספר סוגי מפתחות SSL: RSA, DSA, ECDSA, Ed25519, ועוד כמה אחרים.[סוג המפתח קובע איזה צפיפות זמינים] (https://pjklauser.wordpress.com/2013/10/29/how-are-tls-cipher-choices-affected-by-certificate-key-types/).
@LieRyan, אכן, בגלל זה קישרתי ל [תשובה זו שכתבתי לפני זמן מה] (http://security.stackexchange.com/questions/19473/understanding-2048-bit-ssl-and-256-bit-encryption/19555#19555) גם כן.הבעיה העיקרית היא שהם מערבבים את כל ההסבר הזה עם מספר הסיביות המשמשות להצפנה ... (וזה נראה כי ה- CA המסוים הזה מציע רק סרטי RSA על פי מדריך ה- CSR שלו ומסמכים אחרים).אני חושב שמה שפייסייר ואני דיברנו עליו היה העובדה שהבלבול הכללי הזה היה לעתים קרובות מטעה ולא בריא.
tylerl
2012-06-23 11:14:21 UTC
view on stackexchange narkive permalink

הנקודה החשובה היא שהמטרה (היחידה) של אישור SSL היא לאמת את זהות השרת שאיתו אתה מתקשר.

כל מה שקשור להצפנה ואבטחת החיבור מתנהל בין הדפדפן והשרת ללא תלות באישור. כל עוד המפתח המוטמע בתעודה גדול דיו ואינו נפגע, החיבור שלך מאובטח באותה מידה עם אישור בחינם כמו עם אישור של $ 2000.

מחיר האישור משקף (או לפחות צריך לשקף) את כמות הבדיקות שהחברה המנפיקה ביצעה כדי לוודא שאתה רשאי לקבל את האישור הזה.

ערוך

תעודות עוסקות באמון ולא בביטחון. זו הבחנה עדינה, אך חשובה. אני מאובטח לחלוטין עם אישור בחתימה עצמית כל עוד אוכל לאמת את המפתח. במקרה כזה, תעודת EV אינה מציעה הגנה נוספת עבורי ולו במעט. אבל מה עם אנשים אחרים? אני יודע מבעוד מועד איזה מפתח לסמוך, אבל הם לא. זהו תפקידו של רשות אישורים.

כל רשות האישורים המהימנה בציבור מחייבת אותך לאמת בעלות על הדומיין שלך לפני הנפקת אישור, כך שבמובן זה אישור Verisign בסך $ 2000 שווה לתעודת Startcom בחינם. אבל זה רק חצי מהסיפור.

זוכרים את המקרה המוזר של Mountain America Credit Union? התוקפים הצליחו להתייצב כבנק ולקבל אישור SSL מאקיפיפקס, חותם רשמי מהחברה המנפיקה, אינדיקטור של ChoicePoint המאמת את המיקום (והנחלת החוקיות) של החברה - הכל נקי, חוקי ומונפק כהלכה. הסוד שלהם? הבנק משתמש בשם התחום macu.com , בעוד שתוקפים אלה השתמשו בשם mountain-america.net . כשהם הגישו בקשה לתעודה הם לא אמרו שהם בנק (שהיה מניף דגלים אדומים), אלא הקימו אתר תמים למראה לחלוטין. זה יכול היה להיות משהו כמו מגפי הליכה או בקבוקי מים או בלוג על מגורים בהרים. מי יודע. אך הם שינו אותו בכדי לשכפל את אתר קרדיט יוניון לאחר הוצאת האישורים.

תיאורטית, זה בדיוק סוג ההתקפה שאישור EV אמור להישמר מפניה. זה צריך להיות הרבה יותר קשה להשיג תעודת EV באמצעות זהות בדויה או על בסיס חברה לא קיימת. כנראה לא בלתי אפשרי, אבל תיאורטית קשה יותר. אז ככל הנראה אם ​​יתברר כהונאה, לפחות יש לך את הכתובת של העבריין .. או אז אתה מקווה.

העניין הוא שכשאתה מוכר אמון בקנה מידה גדול זה קשה כדי לשמור על ניקיון המוצר שלך. הפרות כמו פיאסקו של הר אמריקה מתרחשות, אפילו עם כל הבדיקות והבדיקות שאתה יכול לזמן, מכיוון שברגע שהאישור הונפק, המשתמש יכול לשנות את סיפורו.

אולי תכונת האבטחה החשובה ביותר של תעודה בסך $ 2000. הוא המחיר עצמו. כתוב שם, "האדם הזה שילם 2000 דולר עבור האישור הזה". יש להניח שמי שמתכוון להשתמש בו לרוע יבחר במקום זאת בחלופה זולה יותר. זה קצת טיפשי, אבל כנראה גם נכון.

למרות שאני בעיקר מסכים עם תשובתך, נראה שאתה מצמצם את תפקיד האישורים והאימות. "* כל עוד המפתח המוטמע בתעודה גדול דיו ואינו נפגע, החיבור שלך מאובטח באותה מידה עם תעודה בחינם כמו עם תעודת $ 2000. *". אבטחה אינה עוסקת רק בעוצמת ההצפנה: אתה זקוק להצפנה טובה וגם לאימות צד רחוק טוב. זה האחרון בשביל מה תעודות נועדו. אין טעם להחליף נתונים באמצעות תוכנית ההצפנה הטובה ביותר אי פעם אם לא תבדוק עם מי אתה מחליף נתונים אלה מלכתחילה.
@Bruno הוסיף הסבר נוסף
אני מסכים עם "* אני מאובטח לחלוטין עם אישור בחתימה עצמית כל עוד אוכל לאמת את המפתח. *", אך לא מסכים (חלקית) עם "* אישורים נוגעים לאמון ולא לביטחון. זו הבחנה עדינה, אך חשוב. * ": תעודות אכן עוסקות באמון, אך אמון הוא חלק מובנה מאבטחה. העובדה שאתה יכול להיות בטוח לחלוטין באמצעות תעודת חתימה עצמית או תעודה מטעם CA משלך מסתמך על העובדה שאתה מבסס אמון בתעודתך בעצמך. למען האבטחה, עליך לסמוך על האישור (באמצעות איש קשר אישורי או באופן ידני) ועל מנת לקבל הצפנה.
"_אני מאובטח לחלוטין עם אישור בחתימה עצמית ** כל עוד אוכל לאמת את המפתח ** ._" לאחרונה ניגשתי לסוכנות בנק, איש לא הצליח לתת לי את טביעת האצבע של האישור או אפילו לאשר באיזה CA הם משתמשים.
@Bruno אני מפריד בכוונה את האמון מהאבטחה הטכנית (כלומר הצפנה וכו ') במיוחד לצורך הסבר כי האישור עצמו אינו ממלא תפקיד טכני כלשהו במנגנון האופן שבו אבטחת החיבור פועלת. כמובן שאמון הוא גורם ביטחוני, ובו שאר המשרות גורמות.
@curiousguy אתה יכול לאמת את המפתח של האישורים שלך בחתימה עצמית, וזה מה שההצהרה מתייחסת אליו. כמו כן, אני קורא לשניניגנים על הסיפור שלך אודות ניסיון להשיג טביעת אצבע מוסמכת עבור הבנק שלך.
@tylerl "_ כמו כן, אני קורא לשאנניגנים על הסיפור שלך אודות ניסיון להשיג טביעת אצבע מוסמכת עבור הבנק שלך ._" כמה אתה מהמר?
@tylerl "* אני מפריד בכוונה את האמון מהביטחון הטכני *". זה מה שאני חושב שזו טעות. אבטחה אינה קשורה רק לתכונות הטכניות שלה: ניהול ושימושיות (והיבטים חברתיים) הם גם היבטים מרכזיים של מערכת אבטחה. צריך לראות את זה כמכלול. מערכות אבטחה חזקות רק כמו החוליות החלשות ביותר שלהן. (בנוסף, כאשר משתמשים ב- CA, אישור תעודה וזהות יכול להיות טכני למדי, ראה RFC 5280/6125).
@curiousguy, גם אם העובד נותן לך את זה, זה לא אומר שהוא מהימן.לעיתים קרובות עובדים טועים בדברים.
CheapestSSLs
2014-09-17 13:57:15 UTC
view on stackexchange narkive permalink

בעיקר ישנם 3 סוגים של אישורי SSL:

(1) אישורי SSL לאימות דומיין

  • יש פחות הליך אימות קפדני.
  • רק שם המבקש ופרטי יצירת הקשר נבדקים ומאומתים באמצעות הנתונים שהוזנו במהלך ההרשמה.
  • הגורם הלגיטימי אינו נבדק, ולכן זהו מעולה לאתרים מקוונים או לעסקים שאינם מעבירים או עוסקים בנתונים רגישים מאוד.
  • הם קשורים ישירות לשם הדומיין, ובכך הוא מבטיח למשתמשים לגבי האותנטיות של האתר; עם זאת, זה לא מעודד אזהרות דפדפן.

(2) אישור SSL מאומת מורחב

  • הושק בשנת 2007, אחד הפרוטוקולים הראשונים שעוקבים בקפדנות אחר הנחיות התעשייה.
  • בקשת ההסמכה ותהליך האימות הם קפדניים ביותר.
  • כל אישורי עסקי מאומתים בקפידה ובדקה.
  • עבור אתרים המשתמשים בפרוטוקול זה, דרך להבטיח אם האתר מוגן או לא היא לבדוק את חלון הניווט בדפדפן. הוא הופך לירוק אם האתר בטוח והופך לאדום עם תחילת הסכנה.
  • זה עוזר לשמור על סטנדרט אבטחה גבוה, ומאמת את האותנטיות של העסק.

(3) אישור SSL אימות ארגוני

  • נבדקת הלגיטימיות של העסק של המבקש.
  • הוא פועל לפי הליך אימות קפדני, ו מאמת כמעט את כל המידע של העסק.
  • זו אפשרות מצוינת לעסקים מקוונים העוסקים במידע חסוי במיוחד.

(מקור : Buzzle)

האם OV מספר 2 ו- EV מספר 3?
Mr. C
2017-01-16 05:59:11 UTC
view on stackexchange narkive permalink

לדיון זה ישנם שני צדדים.

הראשון הוא עד כמה CA יגיע להבטיח שאתה בעצם מי שאתה טוען שאתה.

השני הוא כמה תכונות מתקדמות יותר ש- CA תומך בהן.

שתיהן חשובות ... CA שייתן לך תעודה עם כל התכונות החדשות ביותר אך לא יבדוק שהזיהוי שלך חסר תועלת וכך גם אחד שיבדוק אותך היטב אבל הוצא רק תעודה עם תכונות שהיו מיושנות לפני 5 שנים.

זהו מידע מיושן למדי.כעת, כש- ICANN מכריח רישומים לשמור מידע על תחומי CA כגון * בואו להצפין * יכולים לאפשר לכם להוסיף אישור ישירות לדומיין פשוט על ידי הוכחה שתוכלו להריץ תוכנית מאחורי אותו תחום.וזה (בתיאוריה) אמור להיות מספיק טוב מכיוון שבאחריותו של בעל הדומיין הוא שהשרת שלו מוקשה ואחריותו של רישום שהשרתים שלו לא נפגעים.
כל עוד תשמור על מפתח נמוך אתה עדיין יכול להירשם ולשמור על דומיין תחת מידע כוזב לחלוטין ולקבל אישור תקף לחלוטין עבורו.אם אתה משתמש אם לצורך הונאה גדולה זה לא יימשך, אך אם אתה משתמש במשהו שאף אחד לא ישים לב אליו או יהיה אכפת לו, אתה יכול לשמור עליו ללא הגבלת זמן.


שאלה ותשובה זו תורגמה אוטומטית מהשפה האנגלית.התוכן המקורי זמין ב- stackexchange, ואנו מודים לו על רישיון cc by-sa 3.0 עליו הוא מופץ.
Loading...