Какой SSL-сертификат мне нужен?
https://stackoverflow.com/questions/502822
-
20-08-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianВопрос
Я разрабатываю программное обеспечение, которое будет развернуто с помощью clickonce (на веб-сайте foo.com), и которое затем подключится к моему серверу с помощью WCF с зашифрованным транспортом
Итак, мне нужен SSL-сертификат, который будет :
- Определите мой foo.com веб-сайт действительно является моим веб-сайтом
- Определите исполняемый файл, который я развертываю с помощью clickonce, как подлинный
- Определите, что мой сервер приложений действительно является моим сервером приложений.
Я также хочу, чтобы мой SSL-сертификат был подписан общедоступным центром сертификации (ie, firefox или Windows не будут просить пользователя сначала установить сертификат центра сертификации !).
Какой SSL-сертификат вы бы купили?
Я просмотрел веб-сайт Verisign, сертификат "Secure Site EV" стоит 1150 евро в год (версия "Pro" кажется полезной только для совместимости со старыми браузерами).
Решение
Похоже, вы ищете два разных типа сертификатов:
1 - SSL-сертификат - для аутентификации вашего веб-сайта / сервера приложений.
2 - Сертификат подписи кода - для целостности / аутентификации поставляемого вами exe-файла.
Обычно это два разных сертификата с двумя разными профилями сертификатов.По крайней мере, вам нужен один сертификат с двумя различными способами использования ключей или расширенными способами использования ключей.
Несколько мыслей в произвольном порядке:
Проверьте свои целевые браузеры, у каждого из них должен быть набор предварительно настроенных корневых сертификатов - это наиболее широко признанные общедоступные источники сертификатов.Я бы, наверное, проверил и Firefox, и IE.Поставщики сертификатов известны мне как громкие имена - Versign, GeoTrust, RSA, Thawte, Entrust.Но есть также GoDaddy и многие другие.Все, что поставляется в поставляемом браузере в качестве доверенного корневого сертификата, позволит вам подключаться к вашим пользователям без дополнительного greif.
Я предлагаю поискать в Google как "сертификат подписи кода", так и "SSL-сертификат".
От того, как вы настроите свой сайт, зависит, будет ли проверен ваш веб-сайт или ваш сервер аутентификации.Если сертификат хранится на сервере приложений, то ваш пользователь получает SSL-шифрование на всем пути к серверу.Но многие сайты размещают SSL-сертификат немного дальше вперед - например, на брандмауэре, а затем размещают за ним коллекцию серверов приложений.Я не вижу в этом недостатка безопасности, при условии, что сеть тщательно настроена.Для внешних пользователей обе конфигурации будут выглядеть одинаково - они получат блокировку своих браузеров и сертификат, который сообщает им, что www.foo.com предоставляет свои учетные данные.
Я вижу довольно выгодные предложения на SSL-сертификаты:- GoDaddy - 12,99 долларов США - Register.com - 14,99 долларов сша
Но это не обязательно подпись кода удостоверяет.Например, в то время как SSL-сертификат GoDaddy стоит 12,99 долларов, их сертификаты подписи кода стоят $199,99!Это часть бизнес-моделей многих поставщиков сертификатов - заманивать вас дешевыми SSL-сертификатами и заставлять платить за подпись кода.Можно привести доводы в пользу того, что сертификаты подписи кода являются относительно более высокой ответственностью.Но также...они должны каким-то образом субсидировать дешевые SSL-сертификаты.
Теоретически, должна быть возможность создать сертификат, который поддерживает как подпись кода, так и SSL, но я не уверен, что вы этого хотите.Если что-то должно произойти, было бы неплохо иметь возможность изолировать эти две функции.Кроме того, я почти уверен, что вам пришлось бы позвонить поставщикам сертификатов и спросить, сделали ли они это, и если они этого не сделают, то, заставив их сделать это, скорее всего, цена поднимется довольно высоко.
Что касается поставщика, то здесь следует учитывать следующие моменты:
- Технология в значительной степени у всех одинаковая.В наши дни стремитесь использовать минимум 128-битные ключи, я бы, вероятно, увеличил их до 256, но я параноик.
- Помимо приемлемости для браузера, единственной причиной платить больше было бы распознавание имени.Среди параноидальных фанатов безопасности я бы ожидал, что RSA, Thawte, Verisign и GeoTrust будут иметь очень хорошую репутацию.Вероятно, и доверить тоже.Вероятно, это имеет значение только в том случае, если вы имеете дело с продуктом, ориентированным на безопасность.Я думаю, что ваш среднестатистический пользователь не будет так осведомлен.
- С точки зрения специалиста по безопасности - вы в безопасности настолько, насколько безопасен ваш корневой центр сертификации (Certificate Authority).Для истинно параноидальных людей, что нужно было бы сделать, это покопаться в справочном материале о том, как компания размещает свои корневые и выдающие центры сертификации, как они физически защищены?сетевая безопасность?контроль доступа персонала?Также - есть ли у них общедоступные CRL (списки отзыва сертификатов), как вы можете отозвать сертификат?Предлагают ли они OCSP (Online Certificate Status Protocol)?Как они проверяют лиц, запрашивающих сертификат, чтобы быть уверенными, что они предоставляют правильный сертификат нужному человеку?...Все это действительно важно, если вы предлагаете что-то, что должно быть очень безопасным.Такие вещи, как медицинские записи, приложения для управления финансами, налоговая информация и т.д., должны быть надежно защищены.Большинство веб-приложений не подвержены столь высокому риску и, вероятно, не требуют такой степени тщательности.
Что касается последнего пункта - если вы покопаетесь в проверенных сертификатах мира - очень дорогих сертификатах - вы, вероятно, увидите их ценность.Они обладают мощной инфраструктурой и очень серьезно относятся к безопасности своих центров сертификации.Я не так уверен насчет сверхдешевых услуг хостинга.Тем не менее, если ваш риск невелик, 300 долларов США за SSL-сертификат не имеют особого смысла по сравнению с 12,99 долларами США!!
Другие советы
Таким образом, для серверов веб-сайтов / приложений вам необходим SSL-сертификат.Ты делаешь не нужен сертификат EV.Для этого я использовал QuickSSL, поскольку, в отличие от некоторых других дешевых поставщиков сертификатов, они не требуют установки промежуточного сертификата на сервере - для меня это не проблема.
Для подписи приложений это совершенно другой тип сертификата (вроде бы это все еще сертификат X509, но тот, который вы используете для своего веб-сайта, не тот, который вы можете использовать для подписи приложения).Вам нужен сертификат подписи authenticode от таких Verisign ( Веризайн ) или Глобальный знак.Они на порядок дороже, чем обычный старый SSL-сертификат, и требуют, чтобы вы были зарегистрированной компанией и представили эти документы.
