De quel certificat SSL ai-je besoin?
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Je développe un logiciel qui sera déployé à l'aide de clickonce (sur le site Web foo.com), et qui se connectera ensuite à mon serveur via WCF avec un transport crypté
Il me faut donc un certificat SSL qui:
- Identifier mon site web foo.com a vraiment été mon site
- Identifiez l'exe que je déploie à l'aide de clickonce comme étant authentique
- Identifier mon serveur d'applications est bien mon serveur d'applications.
Je souhaite également que mon certificat SSL soit signé par une autorité connue du public (c'est-à-dire que Firefox et Windows ne demanderont pas à l'utilisateur d'installer d'abord le certificat de l'autorité!)
Quel certificat SSL achèteriez-vous?
J'ai consulté le site Web de Verisign, le " Secure Site EV " le certificat coûte 1150 & # 8364; un an (la version & "Pro &" semble utile uniquement pour la compatibilité avec les anciens navigateurs)
La solution
On dirait que vous recherchez deux types de certificats différents:
1 - Certificat SSL - pour l'authentification de votre site Web / serveur d'applications.
2 - Certificat de signature de code - pour l'intégrité / l'authentification de l'exécutable que vous livrez.
Il s’agit généralement de deux certificats différents, avec deux profils de certificat différents. Au minimum, vous avez besoin d’un certificat avec deux utilisations de clé différentes ou étendues.
Quelques réflexions sans ordre particulier:
-
Vérifiez vos navigateurs ciblés. Ils doivent tous avoir un ensemble de certificats racine préconfigurés. Ce sont les sources de certificats publics les plus largement reconnues. Je vérifierais probablement à la fois Firefox et IE. Les fournisseurs de certificats que je considère comme de grands noms sont: Versign, GeoTrust, RSA, Thawte, Entrust. Mais il y a aussi GoDaddy et beaucoup d'autres. Tout ce qui est livré dans le navigateur fourni en tant que certificat racine de confiance vous permettra de vous connecter à vos utilisateurs sans greif supplémentaire.
-
Je suggère Google pour le certificat de signature de code " " et " certificat SSL " ;.
-
La manière dont vous configurez votre site déterminera si votre site Web est validé ou non, ou votre serveur d'authentification est validé. Si le certificat est stocké sur le serveur d'applications, votre utilisateur obtient le cryptage SSL jusqu'au serveur. Mais de nombreux sites mettent le certificat SSL un peu plus loin - comme sur un pare-feu, puis organisent une collection de serveurs d'applications derrière lui. Je ne vois pas de faille de sécurité là-dedans, à condition que la mise en réseau soit soigneusement configurée. Pour les utilisateurs extérieurs, les deux configurations auront le même aspect: ils obtiendront le verrouillage de leur navigateur et un certificat qui leur indiquera que www.foo.com offre ses informations d'identification.
Je vois de très bonnes offres pour les certificats SSL: - GoDaddy - 12,99 $ - Register.com - 14,99 $
Mais ils ne sont pas nécessairement des certificats de signature de code . Par exemple, alors que le certificat SSL de GoDaddy est de 12,99 $, leur les certificats de signature de code valent 199,99 $! Cela fait partie des modèles commerciaux de nombreux fournisseurs de certificats: vous attirer avec des certificats SSL à bas prix et vous faire payer pour la signature de code. On pourrait faire valoir que les certificats de signature de code sont relativement plus responsables. Mais aussi ... ils doivent subventionner les certificats SSL bon marché.
Théoriquement, il devrait être possible de créer un certificat utilisant à la fois la signature de code et le protocole SSL, mais je ne suis pas sûr que vous le souhaitiez. Si quelque chose devait arriver, ce serait bien de pouvoir isoler les deux fonctions. De plus, je suis presque sûr que vous devrez appeler les vendeurs de certificats et leur demander s'ils ont agi de la sorte. Sinon, le faire augmentera probablement les prix.
En ce qui concerne le fournisseur, les éléments à prendre en compte:
- La technologie est à peu près la même chose. De nos jours, visez un minimum de clés de 128 bits, je le ferais probablement passer à 256, mais je suis paranoïaque.
- Au-delà de l'acceptabilité du navigateur, la reconnaissance du nom serait la seule raison de payer davantage. Parmi les fous de sécurité paranoïaques, je m'attendrais à ce que RSA, Thawte, Verisign et GeoTrust aient une très bonne réputation. Probablement EnTrust, aussi. Cela n'a probablement d'importance que si vous traitez avec un produit axé sur la sécurité. Je pense que votre utilisateur moyen ne sera pas si conscient.
- Du point de vue des geeks de la sécurité, votre sécurité est aussi sûre que celle de votre autorité de certification racine. Pour les véritablement paranoïaques, la chose à faire serait d'explorer les informations de base sur la manière dont la société héberge ses autorités de certification racine et émettrice, comment sont-elles sécurisées physiquement? sécurité Internet? contrôle d'accès du personnel? En outre - ont-ils des listes de révocation de certificats (CRL) publiques, comment obtenir un certificat révoqué? Offrent-ils OCSP (Online Certificate Status Protocol)? Commentvérifient-ils les demandeurs de certificat pour s’assurer qu’ils donnent le bon certificat à la bonne personne? ... Tout cela compte vraiment si vous proposez quelque chose qui doit être hautement sécurisé. Des éléments tels que les dossiers médicaux, les applications de gestion financière, les informations fiscales, etc. doivent être hautement protégés. La plupart des applications Web ne présentent pas un risque aussi élevé et ne nécessitent probablement pas ce degré de vigilance.
À propos de cette dernière puce - si vous plongez dans les vérités du monde - les certs très onéreux - vous en verrez probablement la valeur. Ils ont une infrastructure massive et prennent très au sérieux la sécurité de leurs CA. Je ne suis pas sûr des services d'hébergement super bon marché. Cela dit, si votre risque est faible, 300 US $ pour un certificat SSL n'a pas beaucoup de sens par rapport à 12,99 US $!
Autres conseils
Donc, pour les serveurs de sites Web / d'applications, vous avez besoin d'un certificat SSL. Vous n'avez pas besoin d'un certificat EV. J'ai utilisé ceux de QuickSSL pour cela, car contrairement à certains autres fournisseurs de certificats bon marché, ils ne requièrent pas l'installation d'un certificat intermédiaire sur le serveur - ce n'est pas mon cas.
Pour les applications de signature, le type de certificat est complètement différent (en quelque sorte, il s'agit toujours d'un certificat X509, mais celui que vous utilisez pour votre site Web ne permet pas de signer une application). Vous avez besoin d'un certificat de signature en authentification à partir de Verisign ou Globalsign . Celles-ci coûtent beaucoup plus cher qu'un ancien certificat SSL et vous obligent à être une société constituée et à produire ces documents.
