题
我正在开发将通过clickonce部署的软件(在foo.com网站上),然后将使用带有加密传输的WCF连接到我的服务器
所以我需要一个SSL证书,该证书将:
- 确定我的foo.com网站确实是我的网站
- 将我使用clickonce部署的exe标识为真实
- 确定我的应用服务器确实是我的应用服务器。
我还希望我的SSL证书由公众已知的权威机构签名(即,firefox或Windows不会要求用户先安装该权威机构的证书!)
您将购买什么SSL证书?
我浏览了Verisign网站,“ Secure Site EV”证书的价格为每年1150欧元(“ Pro”版本似乎仅对兼容旧版浏览器有用)
解决方案
听起来您正在寻找两种不同类型的证书:
1-SSL证书-用于验证您的网站/应用程序服务器。
2-代码签名证书-用于确保所交付的exe的完整性/身份验证。
通常,它们是两个不同的证书,具有两个不同的证书配置文件。至少,您需要一个具有两种不同密钥用法或扩展密钥用法的证书。
一些想法没有具体顺序:
-
检查目标浏览器,每个浏览器都应具有一组预配置的根证书-这些是最广为人知的公共证书来源。我可能会同时检查Firefox和IE。我所熟知的知名证书供应商是-Versign,GeoTrust,RSA,Thawte,Entrust。但是,还有GoDaddy和许多其他人。交付的浏览器中包含的任何内容都作为“受信任的根证书”,将使您无需额外的格里夫即可连接到用户。
-
我建议同时搜索“代码签名证书”和“ SSL证书”。
-
如何配置站点将确定您的网站是否已验证或身份验证服务器已验证。如果证书存储在apps服务器上,则您的用户一直到服务器都将获得SSL加密。但是,许多站点都将SSL证书往前移了一些(例如在防火墙上),然后在其后面暂放了一组应用程序服务器。只要精心配置网络,我就不会看到任何安全漏洞。对于外部用户,这两种配置看起来都一样-他们将锁定浏览器并获得证书,该证书告诉他们www.foo.com正在提供其凭据。
我看到SSL证书的超值优惠: -GoDaddy-$ 12.99 -Register.com-$ 14.99
但是它们不一定是代码签名证书。例如,尽管GoDaddy的SSL证书价格为$ 12.99,但其代码签名证书 199.99美元!这是许多证书供应商业务模型的一部分-用便宜的SSL证书吸引您,并让您支付代码签名的费用。可以证明代码签名证书的责任相对较高。而且...他们必须以某种方式补贴廉价的SSL证书。
关于最后一个子弹-如果您深入研究世界上的Verisigns-非常昂贵的证书-您可能会发现它的价值。他们拥有庞大的基础架构,并非常重视CA的安全性。我不太确定超级便宜的托管服务。也就是说,如果您的风险较低,那么与$ 12.99相比,$ 300的SSL证书就没有多大意义了!
其他提示
因此,对于网站/应用程序服务器,您需要SSL证书。您不需要不需要EV证书。我使用了QuickSSL中的证书,因为与其他一些廉价证书提供者不同,它们不需要在服务器上安装中间证书-对我而言这是一个绝无仅有的事情。
对于使用完全不同类型的证书的应用程序签名(种类,它仍然是X509证书,但是您用于网站的证书不是可以用来对应用程序进行签名的证书)。您需要来自 Verisign 或 Globalsign 。这些证书比普通的旧SSL证书要贵得多,并且要求您成为一家注册公司并出示这些文件。