Welches SSL -Zertifikat brauche ich?
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianFrage
Ich entwickle Software, die mit ClickOnce (auf der Website foo.com) bereitgestellt wird und die dann mit WCF mit einem verschlüsselten Transport zu meinem Server hergestellt wird
Ich brauche also ein SSL -Zertifikat, das:
- Identifizieren Sie meine foo.com -Website sind wirklich meine Website
- Identifizieren Sie die Exe, die ich mit ClickOnce als echt eingeleitet habe
- Identifizieren Sie, dass mein Anwendungsserver wirklich mein Anwendungsserver ist.
Ich möchte auch, dass mein SSL -Zertifikat von einer Autorität unterzeichnet wird, die der Öffentlichkeit bekannt ist (dh Firefox oder Windows wird den Benutzer nicht bitten, das Zertifikat der Behörde zuerst zu installieren!)
Welches SSL -Zertifikat würden Sie kaufen?
Ich habe die Verisign -Website durchsucht, die Zertifikat "Secure Site EV" kostet 1150 € pro Jahr (die "Pro" -Version scheint nur für die Kompatibilität mit älteren Browsern nützlich).
Lösung
Es hört sich so an, als würden Sie nach zwei verschiedenen Arten von Zertifikaten suchen:
1 - SSL -Zertifikat - zur Authentifizierung Ihres Website/Anwendungsservers.
2 - Codessignierzertifikat - zur Integrität/Authentifizierung des von Ihnen lieferenden EXE.
In der Regel handelt es sich um zwei verschiedene Zertifikate mit zwei verschiedenen Zertifikatprofilen. Zumindest benötigen Sie ein Zertifikat mit zwei verschiedenen wichtigen Verwendungen oder erweiterten Schlüsselanwendungen.
Ein paar Gedanken in keiner bestimmten Reihenfolge:
Überprüfen Sie Ihre gezielten Browser, sie sollten jeweils über eine Reihe von vorkonfigurierten Root -Zertifikaten verfügen - dies sind die am weitesten verbreiteten öffentlichen Zertifikatquellen. Ich würde wahrscheinlich sowohl Firefox als auch dh überprüfen. Zertifikatanbieter, die mir als große Namen bekannt sind, sind - wahrnt, GeoTrust, RSA, Thawte, Anvertrugebe. Aber es gibt auch GoDaddy und viele andere. Alles, was im gelieferten Browser als vertrauenswürdiges Root -Zertifikat erhältlich ist, ermöglicht es Ihnen, sich ohne zusätzliches Gleif mit Ihren Benutzern zu verbinden.
Ich schlage vor, sowohl "Code -Signierzertifikat" als auch "SSL -Zertifikat" zu googeln.
Wie Sie Ihre Website konfigurieren, bestimmen Sie, ob Ihre Website validiert ist oder Ihr Authentifizierungsserver validiert ist. Wenn das Zertifikat auf dem Apps -Server gespeichert ist, erhält Ihr Benutzer die SSL -Verschlüsselung bis zum Server. Aber viele Websites setzen das SSL -Zertifikat etwas weiter vor - wie auf einer Firewall, und schauen Sie dann eine Sammlung von Apps -Servern dahinter. Ich sehe darin keinen Sicherheitsfehler, solange das Netzwerk sorgfältig konfiguriert ist. Für die externen Benutzer sehen beide Konfigurationen gleich aus - sie erhalten die Sperre für ihre Browser und ein Zertifikat, das ihnen mitteilt, dass www.foo.com seine Anmeldeinformationen anbietet.
Ich sehe ziemlich tolle Angebote für SSL -Zertifikate: - Godaddy - $ 12.99 - Register.com - $ 14.99
Aber sie sind nicht unbedingt Code -Signierzertifikationen. Zum Beispiel, während Godaddys SSL Cert 12,99 US -Dollar kostet, sind ihre Code -Signierzertifikate sind 199,99 $! Dies ist Teil vieler Geschäftsmodelle für Zertifikatanbieter - locken Sie Sie mit billigen SSL -Zertifikaten ein und lassen Sie Sie für die Codestelle bezahlen. Es könnte ein Fall vorgenommen werden, dass Code -Signierzertifikate eine relativ höhere Haftung sind. Aber auch ... sie müssen die billigen SSL -Zertifikate irgendwie subventionieren.
Theoretisch sollte es möglich sein, ein Zertifikat zu erstellen, das sowohl Code -Signierungen als auch SSL durchführt, aber ich bin mir nicht sicher, ob Sie das möchten. Wenn etwas passieren sollte, wäre es schön, die beiden Funktionen zu isolieren. Ich bin mir ziemlich sicher, dass Sie die Zertifikatverkäufer anrufen und sich fragen müssen, ob sie dies getan haben, und wenn dies nicht der Fall ist, wird sie den Preis wahrscheinlich ziemlich hoch erhöhen.
Was den Anbieter betrifft: Dinge zu berücksichtigen:
- Die Technologie ist so ziemlich gleich. Ziehen Sie heutzutage mindestens 128 Bit -Tasten an, ich würde es wahrscheinlich bis zu 256 stoßen, aber ich bin paranoid.
- Abgesehen von Browser AccordAbiliy wäre der einzige Grund, mehr zu zahlen, die Namenserkennung. Unter den paranoiden Sicherheitswonken würde ich erwarten, dass RSA, Thawte, Verisign und GeoTrust einen sehr guten Ruf haben. Wahrscheinlich auch anvertraut. Dies ist wahrscheinlich nur wichtig, wenn Sie mit einem Sicherheitsfokussierung zu tun haben. Ich denke, Ihr durchschnittlicher Benutzer wird sich nicht so bewusst sein.
- Aus der Sicht der Sicherheit der Sicherheit sind Sie nur so sicher wie die Sicherheit Ihrer Wurzel CA (Zertifikatbehörde). Für die wirklich paranoiden Sache wäre es, sich in das Hintergrundmaterial zu vertiefen, wie das Unternehmen seine Wurzel und die Ausgabe von CAS ausgibt. Netzwerksicherheit? Personalzugriffskontrolle? Außerdem haben sie öffentliche CRLs (Zertifikat -Widerrufslisten), wie werden Sie ein Zertifikat widerrufen? Bieten sie OCSP an (Online -Zertifikat -Statusprotokoll)? Wie können sie Zertifikatanfragen überprüfen, um sicherzustellen, dass sie der richtigen Person das richtige Zertifikat geben? ... all dieses Zeug ist wirklich wichtig, wenn Sie etwas anbieten, das sehr sicher sein muss. Dinge wie medizinische Aufzeichnungen, Finanzverwaltungsanträge, Steuerinformationen usw. sollten stark geschützt sein. Die meisten Web -Apps sind nicht so ein hohes Risiko und erfordern wahrscheinlich nicht dieses Grad der Prüfung.
In dieser letzten Kugel - wenn Sie sich in die Verisigns der Welt eintauchen - die sehr teuren Zertifikate - werden Sie wahrscheinlich den Wert erkennen. Sie haben eine massive Infrastruktur und nehmen die Sicherheit ihrer CAS sehr ernst. Ich bin mir nicht so sicher über die Super-Peap-Hosting-Dienste. Wenn Ihr Risiko niedrig ist, ist 300 US -Dollar für ein SSL -Zertifikat im Vergleich zu 12,99 US -Dollar nicht viel Sinn !!
Andere Tipps
Für Website- / Anwendungsserver benötigen Sie also ein SSL -Zertifikat. Sie machen nicht Benötigen Sie ein EV -Zertifikat. Ich habe dafür eine von Quickssl verwendet, da sie im Gegensatz zu einigen anderen billigen Zertifikatanbietern keine Installation eines Zwischenzertifikats auf dem Server benötigen - das ist für mich keines.
Für die Unterzeichnung von Anwendungen, die eine andere Art von Zertifikat insgesamt darstellen (Art, ist es immer noch ein X509 -Zertifikat, aber das, das Sie für Ihre Website verwenden, ist nicht eine, mit der Sie eine Anwendung unterschreiben können). Sie benötigen ein Authenticode -Signierzertifikat von Leuten von Verisign oder Globalsign. Dies ist eine teurere Größe als ein einfaches altes SSL -Zertifikat und verlangt von einem eingenommenen Unternehmen und vorhanden dieser Dokumente.
