どのような SSL 証明書が必要ですか?

Question

clickonce (Web サイト foo.com 上) を使用して展開され、暗号化されたトランスポートを使用して WCF を使用してサーバーに接続するソフトウェアを開発しています。

したがって、次のような SSL 証明書が必要です。

• 私の foo.com Web サイトが本当に私の Web サイトであることを確認する
• clickonce を使用してデプロイした exe が本物であることを識別する
• アプリケーション サーバーが実際にアプリケーション サーバーであることを確認します。

また、私の SSL 証明書には、一般に知られている機関によって署名してもらいたいと考えています (つまり、Firefox や Windows では、最初に機関の証明書をインストールするようにユーザーに要求しません!)

どの SSL 証明書を購入しますか?

Verisign の Web サイトを閲覧しました。「Secure Site EV」証明書の料金は年間 1150 ユーロです (「Pro」バージョンは、古いブラウザとの互換性のみに役立つようです)。

Answer 1

2 つの異なる種類の証明書を探しているようです。

1 - SSL 証明書 - Web サイト/アプリケーション サーバーの認証用。

2 - コード署名証明書 - 配信する実行ファイルの整合性/認証用。

通常、これらは 2 つの異なる証明書プロファイルを持つ 2 つの異なる証明書です。少なくとも、2 つの異なるキー使用法または拡張キー使用法を持つ 1 つの証明書が必要です。

いくつかの考えを順不同で挙げます。

• 対象のブラウザを確認してください。それぞれのブラウザには、事前に構成された一連のルート証明書があるはずです。これらは、最も広く認識されているパブリック証明書ソースです。おそらく Firefox と IE の両方をチェックするでしょう。私が知っている有名な証明書ベンダーは、Versign、GeoTrust、RSA、Thawte、Entrust です。しかし、GoDaddy や他の多くのサービスもあります。信頼されたルート証明書としてブラウザに提供されるものはすべて、追加の不安を感じることなくユーザーに接続できるようになります。

• 「コード署名証明書」と「SSL 証明書」の両方をグーグルで検索することをお勧めします。

• サイトの構成方法によって、Web サイトが検証されるかどうか、または認証サーバーが検証されるかどうかが決まります。証明書がアプリサーバーに保存されている場合、ユーザーはサーバーに至るまで SSL 暗号化を取得します。しかし、多くのサイトでは、SSL 証明書をファイアウォールなど、少し前に配置し、その背後にアプリ サーバーのコレクションを配置します。ネットワークが慎重に構成されている限り、セキュリティ上の欠陥はないと思います。外部ユーザーにとっては、どちらの設定も同じように見えます。つまり、ブラウザーにロックがかかり、www.foo.com が資格情報を提供していることを示す証明書が取得されます。

SSL 証明書のかなりお得なセールを見つけました。-Godaddy- $ 12.99 -Register.com- $ 14.99

しかし、必ずしもそうではない コード署名証明書. 。たとえば、GoDaddy の SSL 証明書は 12.99 ドルですが、 コード署名証明書 199.99ドルです！これは多くの証明書ベンダーのビジネス モデルの一部であり、安価な SSL 証明書でユーザーを誘惑し、コード署名の料金を支払わせます。コード署名証明書の方が比較的責任が大きいというケースも考えられます。だけでなく...彼らは何らかの方法で安価な SSL 証明書に補助金を出さなければなりません。

理論的には、コード署名と SSL の両方を行う証明書を作成できるはずですが、それを望んでいるのかどうかはわかりません。何かが起こった場合、2つの機能を分離できると便利です。また、証明書ベンダーに電話して、これを行っているかどうかを尋ねる必要があると思います。もし行っていない場合、証明書ベンダーにそれを依頼すると、価格がかなり高額になる可能性があります。

ベンダーに関して考慮すべき点は次のとおりです。

• テクノロジーはほとんど同じです。最近では、最小 128 ビット キーを目指しており、おそらく 256 ビットまで上げると思いますが、私は偏執的です。
• ブラウザの許容性を超えて、より多くの料金を支払う唯一の理由は、知名度です。偏執的なセキュリティマニアの中でも、RSA、Thawte、Verisign、GeoTrust の評判は非常に高いと思います。おそらくEnTrustもそうだろう。これはおそらく、セキュリティに重点を置いた製品を扱っている場合にのみ重要です。平均的なユーザーはそこまで意識しないと思います。
• セキュリティオタクの観点からすると、ルート CA (認証局) のセキュリティと同じくらい安全です。本当に偏執的な人にとって、やるべきことは、企業がルート CA と発行 CA をどのようにホストしているのか、それらは物理的にどのようにセキュリティ保護されているのかという背景資料を掘り下げることでしょう。ネットワークセキュリティー？人員のアクセス制御?また、公開 CRL (証明書失効リスト) はありますか。証明書を取り消すにはどうすればよいですか?OCSP (オンライン証明書ステータス プロトコル) は提供されていますか?証明書の要求者をどのようにチェックして、適切な証明書を適切な人物に提供しているかを確認するにはどうすればよいでしょうか?...高度に安全でなければならないものを提供する場合、これらすべてのことが非常に重要になります。医療記録、財務管理アプリケーション、税務情報などは高度に保護される必要があります。ほとんどの Web アプリはリスクがそれほど高くないため、おそらくこの程度の精査は必要ありません。

最後の項目については、世界中のベリサイン社、つまり非常に高価な証明書を詳しく調べてみると、その価値が分かるでしょう。彼らは大規模なインフラストラクチャを備えており、CA のセキュリティを非常に重視しています。超格安ホスティングサービスについてはよくわかりません。そうは言っても、リスクが低い場合、SSL 証明書の 300 ドルは 12.99 ドルに比べてあまり意味がありません。

Answer 2

だから、Webサイト/アプリケーションサーバー用のSSL証明書が必要になります。あなたはががEV証明書を必要としません。私は、彼らは、サーバー上の中間証明書をインストールする必要はありません、他の安価な証明書プロバイダーの一部とは違って、このためにQuickSSLからのものを使用しました - 。それは私のために誰ません。

完全に証明書の異なる種類の署名アプリケーションについては（種類の、それはまだX509証明書ですが、あなたはあなたのウェブサイトのために使用するものは、あなたがアプリケーションに署名するために使用できるものではありません）。あなたは<のhref =「http://www.verisign.com/products-services/security-services/code-signing/digital-ids-code-signing/」のrel = "noreferrerの同類からのAuthenticode署名証明書を必要とします「>ベリサインのか、 GlobalSignのに。これらは、昔ながらのSSL証明書よりも高価大きさであり、設立された会社であることと、それらの文書を作成する必要がます。