¿Qué certificado SSL necesito?
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Estoy desarrollando un software que se implementará usando clickonce (en el sitio web foo.com), y que luego se conectará a mi servidor usando WCF con un transporte encriptado
Así que necesito un certificado SSL que:
- Identificar mi sitio web foo.com realmente ha sido mi sitio web
- Identifique el exe que implemente usando clickonce como genuino
- Identifique que mi servidor de aplicaciones realmente ha sido mi servidor de aplicaciones.
También quiero que mi certificado SSL sea firmado por una autoridad conocida por el público (es decir, ¡Firefox o Windows no le pedirán al usuario que instale primero el certificado de la autoridad!)
¿Qué certificado SSL comprarías?
He navegado por el sitio web de Verisign, el " Secure Site EV " el certificado cuesta 1150 & # 8364; un año (la versión " Pro " parece útil solo para compatibilidad con navegadores antiguos)
Solución
Parece que está buscando dos tipos diferentes de certificados:
1 - Certificado SSL - para la autenticación de su sitio web / servidor de aplicaciones.
2 - Certificado de firma de código - para integridad / autenticación del exe que entrega.
Normalmente, se trata de dos certificados diferentes, con dos perfiles de certificado diferentes. Como mínimo, necesita un certificado con dos usos clave diferentes o usos clave extendidos.
Algunas reflexiones sin un orden específico:
-
Verifique sus navegadores de destino, cada uno de ellos debe tener un conjunto de certificados raíz preconfigurados: esas son las fuentes de certificados públicos más ampliamente reconocidas. Probablemente verificaría tanto Firefox como IE. Los proveedores de certificados que conozco como grandes nombres son: Versign, GeoTrust, RSA, Thawte, Entrust. Pero también está GoDaddy y muchos otros. Todo lo que viene en el navegador entregado como un Certificado raíz de confianza, le permitirá conectarse a sus usuarios sin greif adicional.
-
Sugiero buscar en Google tanto para " certificado de firma de código " y " certificado SSL " ;.
-
La forma en que configure su sitio determinará si su sitio web está validado o no o su servidor de autenticación está validado. Si el certificado se almacena en el servidor de aplicaciones, su usuario está obteniendo cifrado SSL hasta el servidor. Pero muchos sitios ponen el certificado SSL un poco más adelante, como en un firewall, y luego organizan una colección de servidores de aplicaciones detrás de él. No veo una falla de seguridad en eso, siempre que la red esté configurada cuidadosamente. Para los usuarios externos, ambas configuraciones tendrán el mismo aspecto: obtendrán el bloqueo en sus navegadores y un certificado que les indica que www.foo.com ofrece sus credenciales.
Estoy viendo ofertas muy buenas para certificados SSL: - GoDaddy - $ 12.99 - Register.com - $ 14.99
Pero no son necesariamente certificados de firma de código . Por ejemplo, aunque el Certificado SSL de GoDaddy es de $ 12.99, su ¡los certificados de firma de código cuestan $ 199.99! Eso forma parte de muchos modelos comerciales de proveedores de certificados: lo atrae con certificados SSL baratos y lo hace pagar por la firma del código. Se podría argumentar que los certificados de firma de código son una responsabilidad relativamente mayor. Pero también ... tienen que subsidiar los certificados SSL baratos de alguna manera.
Teóricamente, debería ser posible hacer un certificado que haga tanto firma de código como SSL, pero no estoy seguro de que lo desee. Si algo sucediera, sería bueno poder aislar las dos funciones. Además, estoy bastante seguro de que tendrá que llamar a los proveedores de certificados y preguntarles si hicieron esto, y si no lo hacen, hacer que lo hagan probablemente elevará el precio bastante alto.
En cuanto a proveedor, cosas a considerar:
- La tecnología es casi la misma. En estos días, apunte a un mínimo de claves de 128 bits, probablemente lo aumente a 256, pero estoy paranoico.
- Más allá de la aceptabilidad del navegador, la única razón para pagar más sería el reconocimiento del nombre. Entre las maravillas de seguridad paranoicas, esperaría que RSA, Thawte, Verisign y GeoTrust tengan muy buena reputación. Probablemente EnTrust también. Esto probablemente solo importa si se trata de un producto centrado en la seguridad. Creo que su usuario promedio no será tan consciente.
- Desde una perspectiva de geek de seguridad: solo está tan seguro como la seguridad de su CA raíz (Autoridad de certificación). Para los verdaderamente paranoicos, lo que habría que hacer sería profundizar en el material de fondo de cómo la empresa aloja su CA raíz y emisora, ¿cómo se aseguran físicamente? ¿Seguridad de la red? control de acceso de personal? Además, ¿tienen CRL públicas (listas de revocación de certificados), ¿cómo se revoca un certificado? ¿Ofrecen OCSP (Protocolo de estado del certificado en línea)? Cómo¿Verifican a los solicitantes de certificados para asegurarse de que están dando el certificado correcto a la persona adecuada? ... Todo esto realmente importa si ofrece algo que debe ser altamente seguro. Cosas como registros médicos, solicitudes de administración financiera, información fiscal, etc. deben estar altamente protegidas. La mayoría de las aplicaciones web no son tan riesgosas y probablemente no requieren este grado de escrutinio.
En esa última viñeta, si profundizas en los Verisigns del mundo, los certificados muy caros, es probable que veas el valor. Tienen una infraestructura masiva y toman muy en serio la seguridad de sus AC. No estoy tan seguro acerca de los servicios de alojamiento súper baratos. Dicho esto, si su riesgo es bajo, ¡US $ 300 para un Certificado SSL no tiene mucho sentido en comparación con los US $ 12.99!
Otros consejos
Entonces, para los servidores de sitios web / aplicaciones, necesita un certificado SSL. no necesita un certificado EV. He usado los de QuickSSL para esto, ya que, a diferencia de algunos de los otros proveedores de certificados baratos, no requieren la instalación de un certificado intermedio en el servidor, eso no es nadie para mí.
Para firmar aplicaciones, es un tipo de certificado completamente diferente (más o menos, sigue siendo un certificado X509, pero el que usa para su sitio web no es uno que pueda usar para firmar una aplicación). Necesita un certificado de firma de autenticación de personas como Verisign o Globalsign . Estos son mucho más caros que un simple certificado SSL antiguo y requieren que usted sea una empresa constituida y produzca esos documentos.
