it-swarm-vi.com

Có phải tất cả các chứng chỉ SSL đều như nhau?

Sau khi chạy một vài thử nghiệm từ công cụ Qualsys 'SSL Labs , tôi thấy rằng có sự khác biệt đáng kể về xếp hạng giữa chứng chỉ GoDaddy và VeriSign mà tôi đã kiểm tra.

Có phải tất cả các chứng chỉ SSL từ các nhà cung cấp khác nhau đều bằng nhau? Nếu không, người ta nên dựa vào quyết định nào? Hiện tại tôi tin rằng hầu hết mọi người sẽ cân nhắc chi phí so với thương hiệu (I.e.: GoDaddy ~ $ 70,00 so với Verisign ~ $ 1.500,00).

Tôi có cảm giác từ những gì tôi đã thấy rằng rất nhiều điều này cũng phụ thuộc vào cách SSL thực sự được thực hiện - đây có phải là một kết luận chính xác hơn không?

Cho rõ ràng:

87
Kyle Rozendo

Tuyên bố từ chối trách nhiệm: Câu trả lời này xuất phát trực tiếp từ bài viết eHow . Không có ý định xâm phạm.

Chứng chỉ SSL xác thực tên miền

Chứng chỉ SSL được xác thực tên miền được sử dụng để thiết lập mức độ tin cậy cơ bản với một trang web và chứng minh rằng bạn đang truy cập trang web mà bạn nghĩ rằng bạn đang truy cập. Các chứng chỉ này được cấp sau khi nhà phát hành SSL xác nhận rằng tên miền hợp lệ và thuộc sở hữu của người yêu cầu chứng chỉ. Không cần phải nộp bất kỳ giấy tờ nào của công ty để có được chứng chỉ SSL Xác thực tên miền và các loại chứng chỉ SSL này có thể được cấp cực kỳ nhanh chóng. Nhược điểm của các loại chứng chỉ này là bất kỳ ai cũng có thể nhận được chúng và chúng không có trọng lượng thực sự ngoại trừ việc liên lạc an toàn giữa trình duyệt web của bạn và máy chủ web.

Chứng nhận SSL xác thực tổ chức

Chứng chỉ SSL Xác thực Tổ chức được cấp cho các công ty và cung cấp mức độ bảo mật cao hơn so với chứng chỉ SSL Xác thực Tên miền. Chứng chỉ Xác thực Tổ chức yêu cầu một số thông tin công ty được xác minh cùng với thông tin tên miền và chủ sở hữu. Ưu điểm của chứng chỉ này so với chứng chỉ Xác thực tên miền là nó không chỉ mã hóa dữ liệu mà còn cung cấp một mức độ tin cậy nhất định về công ty sở hữu trang web.

Chứng chỉ SSL xác thực mở rộng

Chứng chỉ SSL xác thực mở rộng là chứng chỉ SSL "hàng đầu của dòng". Có được một yêu cầu rằng một công ty phải trải qua một quá trình kiểm tra nghiêm ngặt và tất cả các chi tiết của công ty phải được xác minh là xác thực và hợp pháp trước khi chứng nhận được cấp. Mặc dù chứng chỉ này có vẻ giống với chứng chỉ SSL Xác thực Tổ chức, điểm khác biệt chính là mức độ kiểm tra và xác minh được thực hiện đối với chủ sở hữu tên miền và công ty đang xin chứng chỉ. Chỉ một công ty vượt qua một cuộc điều tra kỹ lưỡng mới có thể sử dụng chứng chỉ SSL Xác thực mở rộng. Loại chứng chỉ này được các trình duyệt hiện đại nhận ra và được biểu thị bằng một thanh màu trong phần URL của trình duyệt.

Ngoài ra, OV so với EV cũng có tác động về số tiền bảo hiểm trong trường hợp thỏa hiệp. Phí bảo hiểm cho EV nằm cao hơn rất nhiều so với OV.

Đọc thêm/bản gốc: Mickey Walburg, Sự khác biệt trong Chứng chỉ SSL | eHow.com

62
Lucas Kauffman

Cuối cùng, trách nhiệm của người dùng là kiểm tra tính hợp lệ của chứng chỉ. Là nhà cung cấp dịch vụ, ngoài việc giáo dục người dùng nếu bạn có thể, bạn không thể làm được gì nhiều về phía mình: bạn không kiểm soát chứng chỉ nào được trình duyệt của người dùng tin cậy và bạn không thể biết liệu người dùng có xác minh họ không sử dụng SSL/TLS đúng cách và không bỏ qua các cảnh báo tiềm năng.

Những gì bạn cần cố gắng để đánh giá là cách người dùng của bạn sẽ phản ứng và kiểm tra chứng chỉ của bạn. Tôi giả sử đối tượng mục tiêu cho trang web của bạn không nhất thiết là chuyên gia kỹ thuật hoặc PKI. Người dùng của bạn sẽ phản ứng như thế nào sẽ phụ thuộc vào những gì họ đã học về chứng chỉ. Thật không may, có rất nhiều thông tin mâu thuẫn hoặc mơ hồ về chủ đề này, thậm chí đến từ chính CA (hãy nhớ rằng CA có quyền lợi trong việc khiến khách hàng của họ muốn mua chứng chỉ đắt hơn).

Chế độ xác nhận

Mục đích chung của chứng chỉ (khóa chung) là liên kết một danh tính với khóa chung (do đó ràng buộc danh tính với máy chủ bằng cách sử dụng khóa riêng tương ứng trong quá trình bắt tay SSL/TLS).

Lucas Kauffman đã viết một câu trả lời chi tiết về sự khác biệt giữa các certs xác thực tên miền, các certs xác nhận tổ chức và các certs xác nhận mở rộng. Câu hỏi thực sự bạn cần tự hỏi mình là bạn bạn đang cố chứng minh điều gì với người dùng.

Sự khác biệt giữa các loại chứng chỉ là cách xác định danh tính đó.

Chứng chỉ xác thực tên miền đảm bảo cho bạn rằng chứng chỉ được cấp cho chủ sở hữu của tên miền đó. Không hơn, nhưng không kém (Tôi giả sử quy trình xác nhận là chính xác ở đây). Trong nhiều trường hợp, điều này là đủ. Tất cả phụ thuộc vào việc trang web bạn đang quảng cáo có cần được liên kết với một tổ chức đã được biết đến ngoại tuyến hay không. Chứng chỉ được xác nhận chống lại một tổ chức (OV và EV certs) chủ yếu hữu ích khi bạn cần buộc tên miền vào một tổ chức vật lý.

Ví dụ: nó hữu ích cho một tổ chức ban đầu được biết đến thông qua tòa nhà của nó (ví dụ: Bank of America) có thể nói rằng chứng chỉ cho bankofamerica.com Thực sự là nơi bạn đã đưa tiền thật của mình. Trong trường hợp này, việc sử dụng chứng chỉ OV hoặc EV là hợp lý. Điều này cũng có thể hữu ích vì có sự mơ hồ về việc tổ chức nào đứng sau tên miền (ví dụ Apple.comApple.co.uk), Điều quan trọng hơn nữa là tên miền tương tự thuộc sở hữu của đối thủ/Kẻ tấn công sử dụng tên tương tự cho mục đích xấu.

Ngược lại, www.google.com là những gì định nghĩa Google với công chúng; Google không cần phải chứng minh rằng google.com Thuộc về Google thực. Do đó, nó sử dụng chứng chỉ được xác thực tên miền (tương tự với Amazon.com).

Một lần nữa, điều này thực sự hữu ích nếu người dùng biết cách kiểm tra điều này. Trình duyệt không thực sự giúp đỡ ở đây. Firefox chỉ nói "được điều hành bởi (không xác định)" nếu bạn muốn biết thêm chi tiết về chứng chỉ tại www.google.com, Mà không thực sự nói điều này có nghĩa là gì.

Chứng chỉ xác thực mở rộng là một nỗ lực để cải thiện điều này, bằng cách làm cho quy trình xác thực của tổ chức trở nên nghiêm ngặt hơn và bằng cách làm cho kết quả hiển thị rõ hơn: thanh màu xanh lá cây và tổ chức rõ hơn.

Thật không may, điều này đôi khi được sử dụng theo cách làm tăng sự nhầm lẫn, tôi nghĩ. Dưới đây là một ví dụ mà bạn có thể tự kiểm tra: một trong những ngân hàng lớn của Vương quốc Anh (NatWest) sử dụng https://www.nwolb.com/ cho các dịch vụ ngân hàng trực tuyến của mình. Rõ ràng là tên miền thuộc về NatWest (người cũng sở hữu tên natwest.co.uk Hợp lý hơn). Tồi tệ hơn, xác nhận mở rộng (nếu bạn kiểm tra tên bên cạnh thanh màu xanh lá cây) được thực hiện theo "Ngân hàng Hoàng gia Scotland Group plc":

EV certificate look

Đối với những người theo dõi tin tức tài chính, điều này hợp lý bởi vì cả RBS và NatWest đều thuộc cùng một nhóm, nhưng về mặt kỹ thuật, RBS và NatWest là đối thủ cạnh tranh (và cả hai đều có chi nhánh trên đường cao tốc ở Anh - mặc dù điều đó sẽ thay đổi). Nếu người dùng của bạn không có kiến ​​thức bổ sung về nhóm nào giao dịch dưới tên nào, thì thực tế là chứng chỉ được cấp cho tên của đối thủ cạnh tranh tiềm năng sẽ gióng lên hồi chuông cảnh báo. Nếu, với tư cách là người dùng, bạn đã thấy một chứng chỉ về gooooogle.com Được cấp cho Microsoft hoặc Yahoo, tuy nhiên, thanh màu xanh lá cây là, bạn không nên coi đây là trang web của Google.

Một điểm cần lưu ý với chứng chỉ EV là cấu hình của chúng được mã hóa cứng vào các trình duyệt. Đây là cài đặt kiểu biên dịch, không thể định cấu hình sau này (không giống như các cửa hàng chứng chỉ tin cậy thông thường, nơi bạn có thể thêm chứng chỉ CA tổ chức của riêng mình, chẳng hạn). Từ quan điểm cay độc hơn, một số người có thể coi đây là một cách thuận tiện cho những người chơi chính để giữ một vị trí mạnh mẽ trên thị trường.

Con dấu

Một số CA cũng cung cấp nhiều "con dấu" khác nhau mà bạn có thể đặt trên trang web của mình, thường là với các màu khác nhau tùy thuộc vào loại chứng chỉ bạn đã mua. Chúng dường như được dự định là một bước bổ sung để ngăn chặn các CA kém uy tín cấp giấy chứng nhận hợp lệ cho bên sai.

Theo như tôi biết, những thứ này hoàn toàn vô dụng theo quan điểm bảo mật. Thật vậy, khi bạn nhấp vào nó để xác nhận chứng chỉ của bạn (ví dụ: nếu bạn nhấp vào GoDaddy 'logo "đã xác minh an toàn", bạn sẽ kết thúc trang này ), không có gì cho bạn biết rằng chứng chỉ mà bạn nhìn thấy giống với chứng chỉ được gửi đến dịch vụ đằng sau seal.godaddy.com. Thật vậy, nếu có kẻ tấn công MITM giữa bạn và example.com, Với một chứng chỉ hợp lệ khác cho example.com Do CA cẩu thả, kẻ tấn công MITM sẽ không nằm trong example.comseal.godaddy.com. Trừ khi người dùng thực sự nhìn vào chứng chỉ một cách chi tiết, con dấu sẽ không giúp ích gì nhiều (hãy nhớ rằng kẻ tấn công có thể chỉ cần gỡ bỏ liên kết con dấu hoặc chỉ nó đến một con dấu từ CA khác).

Bảo hiểm

Một số chứng chỉ cũng đi kèm với một số loại bảo hiểm. Bạn sẽ nhận được một số khoản bồi thường nếu có sự cố xảy ra trong một giao dịch với số tiền giới hạn. Tôi không rõ các điều kiện để yêu cầu bảo hiểm như vậy là gì.

Chọn cái nào?

Vào cuối ngày, hầu hết người dùng giữ danh sách mặc định các chứng chỉ CA đáng tin cậy được gói cùng với hệ điều hành hoặc trình duyệt của họ. Do giao diện người dùng không phân biệt rõ ràng giữa các CA, nên bảo mật tổng thể mà người dùng nhìn thấy (có trách nhiệm kiểm tra chứng chỉ) sẽ bị điều khiển bởi mẫu số chung thấp nhất trong mỗi danh mục (các thanh màu xanh lam và xanh lục).

Nếu điều quan trọng là buộc tên miền vào một tổ chức "cục gạch", thì đáng để xem xét chứng chỉ EV. Cá nhân tôi không nghĩ rằng cách các UI phân biệt các DV DV và OV là đủ tốt để hiển thị tên tổ chức với một thanh màu xanh hữu ích.

Nếu bạn chủ yếu được biết đến bởi tên miền của bạn (hoặc nếu không có sự mơ hồ nào về việc tên miền đó là của bạn, theo quan điểm của người dùng), hãy tìm bất kỳ chứng chỉ thanh màu xanh nào. (Kiểm tra chi tiết bảo hiểm nếu có liên quan đến trang web của bạn.)

45
Bruno

Điểm quan trọng là mục đích (duy nhất) của chứng chỉ SSL là xác minh danh tính của máy chủ mà bạn liên lạc.

Tất cả mọi thứ về mã hóa và bảo mật của kết nối được thỏa thuận giữa trình duyệt và máy chủ độc lập với chứng chỉ. Miễn là khóa được nhúng trong chứng chỉ đủ lớn và không bị xâm phạm, kết nối của bạn cũng an toàn như nhau với chứng chỉ miễn phí như với chứng chỉ $ 2000.

Giá của chứng chỉ phản ánh (hoặc ít nhất nên phản ánh) số tiền mà công ty phát hành đã thực hiện để xác minh rằng bạn nên được phép có chứng chỉ đó.

[~ # ~] chỉnh sửa [~ # ~]

Giấy chứng nhận là về niềm tin hơn là bảo mật. Đó là một sự khác biệt tinh tế, nhưng là một điều quan trọng. Tôi hoàn toàn an toàn với chứng chỉ tự ký miễn là tôi có thể xác minh khóa. Trong trường hợp đó, chứng chỉ EV hoàn toàn không bảo vệ tôi nữa dù chỉ ở mức độ nhẹ nhất. Nhưng những người khác thì sao? Tôi biết trước chìa khóa nào để tin tưởng, nhưng họ thì không. Đó là vai trò của CA.

Tất cả các CA đáng tin cậy công khai yêu cầu bạn xác minh quyền sở hữu tên miền của mình trước khi cấp chứng chỉ, do đó, theo nghĩa đó, chứng chỉ Verisign $ 2000 bằng với chứng chỉ Startcom miễn phí. Nhưng đó chỉ là một nửa câu chuyện.

Ghi nhớ trường hợp tò mò của Liên minh tín dụng Mountain America? Những kẻ tấn công đã có thể đóng vai trò là một ngân hàng và nhận được chứng chỉ SSL từ Equachus, một con dấu chính thức từ công ty phát hành, một chỉ số ChoicePoint xác minh vị trí (và được coi là hợp pháp) của công ty - tất cả đều sạch sẽ, hợp pháp và được cấp đúng. Bí mật của họ? Ngân hàng sử dụng tên miền macu.com, trong khi những kẻ tấn công này sử dụng tên mountain-america.net. Khi họ nộp đơn xin giấy chứng nhận, họ KHÔNG nói rằng họ là một ngân hàng (điều đó sẽ giương cờ đỏ), mà thay vào đó là đưa ra một trang web trông hoàn toàn vô tội. Nó có thể là một cái gì đó như giày leo núi hoặc nước đóng chai hoặc một blog về cuộc sống trên núi. Ai biết. Nhưng họ đã thay đổi nó để nhân đôi trang web của Liên minh tín dụng sau khi thông tin đăng nhập được cấp.

Về mặt lý thuyết, đây chính xác là kiểu tấn công mà chứng nhận EV được cho là để bảo vệ chống lại. Việc lấy chứng chỉ EV bằng cách sử dụng danh tính giả hoặc dựa trên một công ty không tồn tại sẽ khó hơn nhiều. Có lẽ không phải là không thể, nhưng về mặt lý thuyết thì khó khăn hơn. Vì vậy, có lẽ nếu nó trở thành một sự gian lận, ít nhất bạn có địa chỉ của hung thủ .. hoặc vì vậy bạn hy vọng.

Vấn đề là, khi bạn bán niềm tin ở quy mô lớn, thật khó để giữ cho sản phẩm của bạn sạch sẽ. Vi phạm như thất bại của Mountain America xảy ra, thậm chí với tất cả các kiểm tra và kiểm tra mà bạn có thể triệu tập, bởi vì một khi chứng chỉ được cấp, người dùng có thể thay đổi câu chuyện của mình.

Có thể tính năng bảo mật quan trọng nhất của chứng chỉ $ 2000 là giá chính nó. Nó nói, "người này đã trả $ 2000 cho chứng chỉ này". Có lẽ ai đó có ý định sử dụng nó cho mục đích xấu sẽ chọn cách thay thế rẻ hơn. Nó hơi ngớ ngẩn, nhưng có lẽ cũng đúng.

21
tylerl

Chủ yếu Có 3 loại Chứng chỉ SSL:

(1) Chứng chỉ SSL xác thực tên miền

  • Nó có một quy trình xác nhận ít nghiêm ngặt hơn.
  • Chỉ tên và thông tin liên lạc của người nộp đơn được kiểm tra và xác minh với dữ liệu được nhập trong quá trình đăng ký.
  • Yếu tố hợp pháp không được kiểm tra, và do đó, điều này là tuyệt vời cho các trang web trực tuyến hoặc doanh nghiệp không chuyển hoặc xử lý dữ liệu rất nhạy cảm.
  • Nó được gắn trực tiếp vào tên miền, do đó nó đảm bảo cho người dùng về tính xác thực của trang web; tuy nhiên, nó không khuyến khích các cảnh báo của trình duyệt.

(2) Chứng chỉ SSL xác thực mở rộng

  • Ra mắt vào năm 2007, đây là một trong những giao thức đầu tiên tuân thủ nghiêm ngặt các hướng dẫn của ngành.
  • Ứng dụng chứng nhận và quy trình xác nhận là vô cùng nghiêm ngặt.
  • Mỗi và mọi thông tin kinh doanh đều được xác minh cẩn thận và tỉ mỉ.
  • Đối với các trang web sử dụng giao thức này, một cách để đảm bảo trang web có được bảo vệ hay không là kiểm tra cửa sổ điều hướng trình duyệt. Nó chuyển sang màu xanh nếu trang web an toàn và chuyển sang màu đỏ khi bắt đầu nguy hiểm.
  • Nó giúp duy trì một tiêu chuẩn đảm bảo cao, và xác minh tính xác thực của doanh nghiệp.

(3) Chứng chỉ SSL xác thực tổ chức

  • Tính hợp pháp của việc kinh doanh của người nộp đơn được kiểm tra.
  • Nó tuân theo một quy trình xác nhận nghiêm ngặt và xác minh thực tế tất cả các thông tin của doanh nghiệp.
  • Nó là một lựa chọn tuyệt vời cho các doanh nghiệp trực tuyến xử lý thông tin cực kỳ bí mật.

(Nguồn: Buồm )

3
CheapestSSLs

Có hai mặt của cuộc tranh luận này.

Đầu tiên là CA sẽ đi bao xa để đảm bảo bạn thực sự là người mà bạn tuyên bố là.

Thứ hai là có bao nhiêu tính năng nâng cao hơn mà CA hỗ trợ.

Cả hai đều quan trọng ... một CA sẽ cung cấp cho bạn một chứng chỉ với tất cả các tính năng mới nhất nhưng sẽ không kiểm tra id của bạn là vô dụng vì một người sẽ kiểm tra bạn tốt nhưng chỉ cấp chứng chỉ với các tính năng đã lỗi thời 5 năm trước.

0
Mr. C