Qual certificado SSL eu preciso?
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPergunta
Estou desenvolvendo software que será implantado usando o ClickOnce (no site foo.com) e que então se conectará ao meu servidor usando o WCF com um transporte criptografado
Então, eu preciso de um certificado SSL que será:
- Identifique meu site Foo.com realmente é meu site
- Identifique o EXE I implantar usando o ClickOnce como sendo genuíno
- Identifique meu servidor de aplicativos realmente é meu servidor de aplicativos.
Também quero que meu certificado SSL seja assinado por uma autoridade conhecida pelo público (ou seja, Firefox ou Windows não solicitará ao usuário que instale o certificado da autoridade primeiro!)
Qual certificado SSL você compraria?
Eu naveguei no site da Verisign, o certificado "Secure Site EV" custa 1150 € por ano (a versão "Pro" parece útil apenas para compatibilidade com navegadores mais antigos)
Solução
Parece que você está procurando dois tipos diferentes de certificados:
1 - Certificado SSL - Para autenticação do seu site/servidor de aplicativos.
2 - Certificado de assinatura de código - para integridade/autenticação do EXE que você entrega.
Normalmente, esses são dois certificados diferentes, com dois perfis de certificado diferentes. No mínimo, você precisa de um certificado com dois usos de chaves diferentes ou usos de chave estendida.
Alguns pensamentos em nenhuma ordem específica:
Verifique seus navegadores direcionados, cada um deve ter um conjunto de certificados raiz pré -configurados - essas são as fontes de certificação pública mais amplamente reconhecidas. Eu provavelmente verificaria o Firefox e o IE. Os fornecedores de certificados conhecidos por mim como grandes nomes são - Versign, GeoTrust, RSA, Thawte, INDST. Mas também há godaddy e muitos outros. Qualquer coisa que venha no navegador entregue como um certificado de raiz confiável, permitirá que você se conecte aos seus usuários sem o Greif adicional.
Sugiro pesquisar no Google para "Certificado de assinatura de código" e "certificado SSL".
Como você configura seu site determinará se o seu site é ou não validado ou seu servidor de autenticação é validado. Se o certificado for armazenado no servidor Apps, seu usuário estará obtendo criptografia SSL até o servidor. Mas muitos sites colocam o certificado SSL um pouco mais adiante - como em um firewall e, em seguida, encene uma coleção de servidores de aplicativos por trás dele. Não vejo uma falha de segurança nisso, desde que a rede seja cuidadosamente configurada. Para os usuários externos, ambas as configurações terão a mesma aparência - elas receberão a trava nos navegadores e um certificado que lhes diz que o www.foo.com está oferecendo suas credenciais.
Estou vendo ótimos ofertas para certificados SSL: - Godaddy - $ 12,99 - Register.com - $ 14,99
Mas eles não são necessariamente Certificados de assinatura de código. Por exemplo, enquanto o certificado SSL de Godaddy custa US $ 12,99, seus Certos de assinatura de código são US $ 199,99! Isso faz parte de muitos modelos de negócios de fornecedores de certificados - atrai você com certificados SSL baratos e fazem você pagar pela assinatura de código. Pode -se argumentar que os certificados de assinatura de código são responsabilidades relativamente mais altas. Mas também ... eles precisam subsidiar os certificados SSL baratos de alguma forma.
Teoricamente, deve ser possível fazer um certificado que faça assinatura de código e SSL, mas não tenho certeza se você deseja isso. Se algo acontecesse, seria bom poder isolar as duas funções. Além disso, tenho certeza de que você teria que ligar para os fornecedores de certificados e perguntar se eles fizeram isso e, se não o fizerem, fazê -los fazê -lo provavelmente aumentará o preço bastante alto.
Quanto ao fornecedor, as coisas a considerar:
- A tecnologia é praticamente a mesma coisa. Hoje em dia, aponte para um mínimo de chaves de 128 bits, provavelmente subiria para 256, mas sou paranóico.
- Além do navegador aceita, a única razão para pagar mais seria o reconhecimento de nome. Entre os gansos paranóicos de segurança, eu esperaria que a RSA, Thawte, Verisign e Geotrust tenham uma reputação muito boa. Provavelmente confiar também. Provavelmente, isso só importa se você estiver lidando com um produto focado em segurança. Eu acho que seu usuário comum não estará tão ciente.
- Do ponto de vista do geek de segurança - você é tão seguro quanto a segurança do seu CA da raiz (autoridade de certificado). Para os verdadeiramente paranóicos, a coisa a fazer seria cavar o material de fundo de como a empresa hospeda sua raiz e emissão de CAS, como eles são fisicamente secundários? segurança de rede? controle de acesso ao pessoal? Além disso - eles têm CRLs públicos (listas de revogação de certificados), como você recebe um certificado revogado? Eles oferecem OCSP (protocolo de status de certificado online)? Como eles visitam os solicitantes de certificado para garantir que estejam dando o certificado certo para a pessoa certa? ... Todas essas coisas realmente importam se você estiver oferecendo algo que deve ser altamente seguro. Coisas como registros médicos, pedidos de gerenciamento financeiro, informações fiscais etc. devem ser altamente protegidas. A maioria dos aplicativos da Web não é tão alto e provavelmente não exige esse grau de escrutínio.
Na última bala - se você se interessar pelos Verisign do mundo - os certificados muito caros - é provável que verá o valor. Eles têm uma infraestrutura enorme e levam a segurança de seus CAS muito a sério. Não tenho tanta certeza sobre os serviços de hospedagem super baratos. Dito isto, se seu risco for baixo, US $ 300 para um certificado SSL não fazem muito sentido em comparação com US $ 12,99 !!
Outras dicas
Portanto, para servidores de site / aplicativos, você precisa de um certificado SSL. Você faz não Precisa de um certificado EV. Eu usei os do QuickSSL para isso, pois, diferentemente de alguns dos outros provedores de certificados baratos, eles não exigem a instalação de um certificado intermediário no servidor - isso é ninguém para mim.
Para assinar aplicativos, esse é um tipo diferente de certificado (mais ou menos, ainda é um certificado X509, mas o que você usa para o seu site não é um que você pode usar para assinar um aplicativo). Você precisa de um certificado de assinatura de autenticode de artistas como Verisign ou GlobalSign. Isso é uma magnitude mais cara que um certificado SSL antigo e exige que você seja uma empresa incorporada e produz esses documentos.
