ما هي شهادة SSL التي أحتاجها؟
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
Russianسؤال
أقوم بتطوير برنامج سيتم نشره باستخدام ClickOnce (على موقع Foo.com) ، والذي سيتصل بعد ذلك بخادمي باستخدام WCF مع نقل مشفر
لذلك أنا بحاجة إلى شهادة SSL التي سوف:
- حدد موقع الويب الخاص بي foo.com هو موقع الويب الخاص بي حقًا
- حدد EXE الذي نشرته باستخدام ClickOnce باعتباره حقيقيًا
- تحديد خادم التطبيق الخاص بي هو حقا خادم التطبيق الخاص بي.
أريد أيضًا أن يتم توقيع شهادة SSL من قبل سلطة معروفة للجمهور (أي أن Firefox أو Windows لن تطلب من المستخدم تثبيت شهادة السلطة أولاً!)
ما هي شهادة SSL التي ستشتريها؟
لقد قمت بتصفح موقع Verisign على الويب ، وتكلف شهادة "Secure Site EV" 1150 يورو سنويًا (يبدو أن الإصدار "Pro" مفيد فقط للتوافق مع المتصفحات القديمة)
المحلول
يبدو أنك تبحث عن نوعين مختلفين من الشهادات:
1 - شهادة SSL - لمصادقة موقع الويب الخاص بك/خادم التطبيق.
2 - شهادة توقيع الكود - لسلامة/مصادقة EXE التي تسليمها.
عادةً ما تكون هاتان شهادتان مختلفتان ، مع ملامح شهادة مختلفة. على الأقل ، تحتاج إلى شهادة واحدة مع استخدامين مختلفين للمفاتيح أو استخدامات المفاتيح الممتدة.
بعض الأفكار في أي ترتيب محدد:
تحقق من المتصفحات المستهدفة ، يجب أن يكون لديهم مجموعة من شهادات الجذر المسبقة - تلك هي المصادر الشهادة العامة الأكثر شهرة على نطاق واسع. ربما أتحقق من كل من Firefox و IE. بائعو الشهادات المعروفين لي باسم أسماء كبيرة - في مقابل ، Geotrust ، RSA ، thawte ، تكليف. ولكن هناك أيضا غوداد والآخرين. أي شيء يأتي في المتصفح الذي تم تسليمه كشهادة جذر موثوق به ، سيسمح لك بالاتصال بالمستخدمين دون GREIF إضافي.
أقترح Googling لكل من "شهادة توقيع الرمز" و "شهادة SSL".
ستحدد كيفية تكوين موقعك ما إذا تم التحقق من صحة موقع الويب الخاص بك أم لا أو تم التحقق من صحة خادم المصادقة. إذا تم تخزين الشهادة على خادم التطبيقات ، فإن المستخدم الخاص بك يحصل على تشفير SSL وصولاً إلى الخادم. لكن العديد من المواقع تضع شهادة SSL إلى الأمام قليلاً - مثل على جدار الحماية ، ثم قم بتنظيم مجموعة من خوادم التطبيقات خلفها. لا أرى عيبًا أمانًا في ذلك ، طالما تم تكوين الشبكات بعناية. بالنسبة للمستخدمين الخارجيين ، ستبدو كلا التكوين كما هي - سيحصلون على القفل على متصفحاتهم وشهادة تخبرهم أن www.foo.com تقدم بيانات اعتمادها.
أرى صفقات رائعة لشهادات SSL: - Godaddy - $ 12.99 - Record.com - 14.99 دولارًا
لكنهم ليسوا بالضرورة شهادات توقيع الكود. على سبيل المثال ، في حين أن SSL Cert's Godaddy هي 12.99 دولار ، رمز توقيع الشهادات هي 199.99 دولار! هذا جزء من العديد من نماذج أعمال بائعي الشهادات - إغراءك باستخدام شهادات SSL الرخيصة ، وتجعلك تدفع مقابل توقيع الرمز. يمكن تقديم حالة أن شهادات توقيع الرمز هي مسؤولية أعلى نسبيا. ولكن أيضا ... لديهم لدعم شهادات SSL الرخيصة بطريقة أو بأخرى.
من الناحية النظرية ، يجب أن يكون من الممكن إنشاء شهادة تقوم بتوقيع الكود و SSL ، لكنني لست متأكدًا من أنك تريد ذلك. إذا حدث شيء ما ، فسيكون من الجيد أن تكون قادرًا على عزل وظيفتي. أيضًا ، أنا متأكد تمامًا من أنك ستضطر إلى الاتصال ببائعين الشهادة واسألهم عما إذا كانوا قد فعلوا ذلك ، وإذا لم يفعلوا ذلك ، فمن المحتمل أن يرفعهم السعر المرتفع.
بقدر البائع ، أشياء يجب مراعاتها:
- التكنولوجيا إلى حد كبير نفس الشيء. في هذه الأيام ، تهدف إلى ما لا يقل عن 128 بت مفتاح ، ربما كنت أتصاعد حتى 256 ، لكنني بجنون العظمة.
- ما وراء المتصفح قبول Accounbiliy ، والسبب الوحيد لدفع المزيد هو الاعتراف بالاسم. من بين رعاة الأمن بجنون العظمة ، أتوقع أن يكون لدى RSA و Thawte و Verisign و Geotrust سمعة جيدة جدًا. ربما تكليف ، أيضا. ربما هذا يهم فقط إذا كنت تتعامل مع منتج يركز على الأمان. أعتقد أن المستخدم العادي لن يكون على دراية.
- من منظور الأمن المهووسين - أنت فقط آمن مثل أمان جذر CA (سلطة الشهادة). بالنسبة إلى جنون العظمة حقًا ، فإن الشيء الذي يجب فعله هو البحث في المواد الأساسية لكيفية استضافة الشركة من جذرها وإصدار CAS ، كيف يتم تأمينها جسديًا؟ أمان الشبكة؟ التحكم في الوصول إلى الموظفين؟ أيضًا - هل لديهم CRLs العامة (قوائم إلغاء الشهادات) ، كيف يمكنك إلغاء شهادة Cert؟ هل يقدمون OCSP (بروتوكول حالة الشهادة عبر الإنترنت)؟ كيف يقومون بالتحقق من طلاب الشهادة للتأكد من أنهم يقدمون الشهادة المناسبة للشخص المناسب؟ ... كل هذه الأشياء مهمة حقًا إذا كنت تقدم شيئًا يجب أن يكون آمنًا للغاية. يجب أن تكون أشياء مثل السجلات الطبية ، وتطبيقات الإدارة المالية ، والمعلومات الضريبية ، وما إلى ذلك محمية للغاية. معظم تطبيقات الويب ليست عالية المخاطر وربما لا تتطلب هذه الدرجة من التدقيق.
في تلك الرصاصة الأخيرة - إذا كنت تحفر في verisigns في العالم - فإن الشهادات باهظة الثمن للغاية - من المحتمل أن ترى القيمة. لديهم بنية تحتية ضخمة ويأخذون أمن CAS على محمل الجد. لست متأكدًا جدًا من خدمات الاستضافة الفائقة. ومع ذلك ، إذا كانت مخاطرك منخفضة ، فإن 300 دولار أمريكي لشهادة SSL لا معنى لها مقارنة بـ 12.99 دولارًا أمريكيًا !!
نصائح أخرى
لذلك بالنسبة لخوادم موقع الويب / التطبيق ، تحتاج إلى شهادة SSL. أنت تفعل ليس بحاجة إلى شهادة EV. لقد استخدمت تلك من QuickSSL لهذا الغرض ، على عكس بعض مزودي الشهادات الرخيصة الآخرين ، لا يحتاجون إلى تثبيت شهادة وسيطة على الخادم - هذا لا أحد بالنسبة لي.
بالنسبة لتوقيع التطبيقات التي تعد نوعًا مختلفًا من الشهادة تمامًا (نوعًا ما ، لا يزال شهادة X509 ، لكن الرقم الذي تستخدمه لموقع الويب الخاص بك ليس شبكة يمكنك استخدامها للتوقيع على تطبيق). تحتاج إلى شهادة توقيع أصلية من أمثال Verisign أو Globalsign. هذه حجم أغلى من شهادة SSL القديمة العادية وتتطلب منك أن تكون شركة مدمجة وإنتاج تلك المستندات.
