Di quale certificato SSL ho bisogno?

Question

Sto sviluppando un software che verrà distribuito utilizzando clickonce (sul sito foo.com) e che si collegherà quindi al mio server utilizzando WCF con un trasporto crittografato

Quindi ho bisogno di un certificato SSL che:

• Identificare il mio sito web foo.com è davvero il mio sito web
• Identifica l'exe che distribuisco utilizzando clickonce come autentico
• Identificare il mio server delle applicazioni è in realtà il mio server delle applicazioni.

Voglio anche che il mio certificato SSL sia firmato da un'autorità nota al pubblico (ad esempio, Firefox o Windows non chiederanno all'utente di installare prima il certificato dell'autorità!)

Quale certificato SSL compreresti?

Ho navigato sul sito Verisign, il certificato "Secure Site EV" costa 1150€ all'anno (la versione "Pro" sembra utile solo per compatibilità con browser più vecchi)

Answer 1

Sembra che tu stia cercando due diversi tipi di certificati:

1 - Certificato SSL - per l'autenticazione del tuo sito web/server dell'applicazione.

2 - Certificato di firma del codice: per l'integrità/autenticazione dell'exe consegnato.

In genere si tratta di due certificati diversi, con due profili di certificato diversi.Come minimo, è necessario un certificato con due diversi utilizzi della chiave o utilizzi della chiave estesi.

Alcune riflessioni senza un ordine specifico:

• Controlla i browser di destinazione, ciascuno di essi dovrebbe avere una serie di certificati root preconfigurati: queste sono le fonti di certificati pubblici più ampiamente riconosciute.Probabilmente controllerei sia Firefox che IE.I fornitori di certificati a me noti come grandi nomi sono: Versign, GeoTrust, RSA, Thawte, Entrust.Ma c'è anche GoDaddy e molti altri.Tutto ciò che viene fornito nel browser come certificato di radice attendibile ti consentirà di connetterti ai tuoi utenti senza ulteriori problemi.

• Suggerisco di cercare su Google sia il "certificato di firma del codice" che il "certificato SSL".

• Il modo in cui configuri il tuo sito determinerà se il tuo sito web sarà convalidato o meno o se il tuo server di autenticazione sarà convalidato.Se il certificato è archiviato sul server delle app, il tuo utente riceve la crittografia SSL fino al server.Ma molti siti inseriscono il certificato SSL un po' più in avanti, come su un firewall, e poi posizionano dietro di esso una raccolta di server di app.Non vedo un difetto di sicurezza in questo, purché la rete sia configurata attentamente.Agli utenti esterni, entrambe le configurazioni sembreranno identiche: otterranno il blocco sui loro browser e un certificato che informa loro che www.foo.com offre le sue credenziali.

Vedo ottime offerte per i certificati SSL:- Godaddy - $ 12,99 - Register.com - $ 14,99

Ma non lo sono necessariamente certificati di firma del codice.Ad esempio, mentre il certificato SSL di GoDaddy costa $ 12,99, il loro certificati di firma del codice sono $ 199,99!Questo fa parte dei modelli di business di molti fornitori di certificati: attirarti con certificati SSL economici e farti pagare per la firma del codice.Si potrebbe sostenere che i certificati di firma del codice comportano una responsabilità relativamente più elevata.Ma anche...devono sovvenzionare in qualche modo i certificati SSL economici.

In teoria, dovrebbe essere possibile creare un certificato che esegua sia la firma del codice che SSL, ma non sono sicuro che tu lo voglia.Se dovesse succedere qualcosa, sarebbe bello poter isolare le due funzioni.Inoltre, sono abbastanza sicuro che dovresti chiamare i fornitori di certificati e chiedere se lo hanno fatto, e se non lo fanno, farli fare probabilmente aumenterà il prezzo piuttosto in alto.

Per quanto riguarda il venditore, cose da considerare:

• La tecnologia è praticamente la stessa.In questi giorni, puntando a un minimo di chiavi a 128 bit, probabilmente lo porterei fino a 256, ma sono paranoico.
• Al di là dell’accettabilità del browser, l’unico motivo per pagare di più sarebbe il riconoscimento del nome.Tra i paranoici esperti di sicurezza, mi aspetterei che RSA, Thawte, Verisign e GeoTrust abbiano un'ottima reputazione.Probabilmente anche EnTrust.Questo probabilmente è importante solo se hai a che fare con un prodotto incentrato sulla sicurezza.Penso che il tuo utente medio non sarà così consapevole.
• Dal punto di vista dei fanatici della sicurezza, la sicurezza è pari a quella della tua CA radice (autorità di certificazione).Per i veramente paranoici, la cosa da fare sarebbe approfondire il materiale di base su come l'azienda ospita la sua radice e le CA emittenti, come sono protette fisicamente?sicurezza della rete?controllo accessi del personale?Inoltre, hanno CRL pubblici (elenchi di revoche di certificati), come si fa a revocare un certificato?Offrono OCSP (Online Certificate Status Protocol)?Come controllano i richiedenti del certificato per essere sicuri che stiano fornendo il certificato giusto alla persona giusta?...Tutte queste cose sono davvero importanti se offri qualcosa che deve essere altamente sicuro.Cose come cartelle cliniche, applicazioni di gestione finanziaria, informazioni fiscali, ecc. dovrebbero essere altamente protette.La maggior parte delle app Web non presenta rischi così elevati e probabilmente non richiede questo livello di controllo.

Sull'ultimo punto, se scavi tra i Verisign del mondo, i certificati molto costosi, probabilmente ne vedrai il valore.Hanno un’infrastruttura enorme e prendono molto sul serio la sicurezza delle loro CA.Non sono così sicuro dei servizi di hosting super economici.Detto questo, se il rischio è basso, 300 dollari per un certificato SSL non ha molto senso rispetto a 12,99 dollari!!

Answer 2

Pertanto, per i siti Web / i server applicazioni è necessario un certificato SSL. non è necessario un certificato EV. Ho usato quelli di QuickSSL per questo, in quanto a differenza di altri provider di certificati economici non richiedono l'installazione di un certificato intermedio sul server - questo non è nessuno per me.

Per la firma di applicazioni che sono del tutto un diverso tipo di certificato (tipo di, è ancora un certificato X509, ma quello che usi per il tuo sito web non è uno che puoi usare per firmare un'applicazione). È necessario un certificato di firma Authenticode di artisti del calibro di Verisign o Globalsign . Questi sono molto più costosi di un semplice vecchio certificato SSL e richiedono di essere una società costituita e produrre tali documenti.