SSL 인증서 클래스 2 대 클래스 3 대 클래스 4

20

방금 GoDaddy.com에서 "Premium EV SSL 인증서"를 받았습니다. 8 개월 전 GoDaddy는 클래스 3 인증서를 제공하지 않습니다. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) 또한 인증서 사용을 다음과 같이 충족했습니다.

이메일을위한 개인용 클래스 1

신원 증명이 필요한 조직의 클래스 2

발급하는 인증 기관이 ID 및 권한을 독립적으로 확인 및 확인하는 서버 및 소프트웨어 서명의 클래스 3

회사 간의 온라인 비즈니스 거래를위한 클래스 4

민간 단체 또는 정부 보안을위한 클래스 5

  1. EV 인증서 유효성 검사가 클래스 3 유효성 검사와 동일하지 않습니까? EV 인증서가 클래스 3이 아닌 이유는 무엇입니까?
  2. 사람들은 클래스 4 인증서를 사용합니까? 기술적으로 B-B SOAP에 인증서를 사용합니다. 클래스 4에 속하는 것은 어느 것입니까?
  3. 발급 한 CA 및 인증서 목록은 어디에 있습니까?
  4. 그것은 암호화로 귀결되기 때문에 당신이 누구인지 확인하는 것 외에도 인증서 사이에 큰 차이가 있습니까?
  5. CA가 클래스 2 대 클래스 3 및 클래스 4 인증서를 제공 할 수 있는지 여부는 어떻게 결정됩니까?

감사!

ssl-certificate  encryption 
지 네프
소스

답변:

17

마케팅 과대 광고 (및 비용). 이것은 사양의 일부가 아닙니다. Wikipedia에서 온 것입니다.

http://en.wikipedia.org/wiki/Public_key_certificate

공급 업체 정의 클래스

VeriSign은 다양한 유형의 디지털 인증서에 대한 클래스 개념을 사용합니다 [3] :

  • 이메일을위한 개인용 클래스 1
  • 신원 증명이 필요한 조직의 클래스 2
  • 발급하는 인증 기관이 ID 및 권한을 독립적으로 확인 및 확인하는 서버 및 소프트웨어 서명의 클래스 3
  • 회사 간의 온라인 비즈니스 거래를위한 클래스 4
  • 민간 단체 또는 정부 보안을위한 클래스 5

다른 공급 업체는 SSL 프로토콜에 지정되어 있지 않기 때문에 다른 클래스를 사용하거나 클래스를 전혀 사용하지 않을 수도 있지만 대부분의 경우 클래스를 특정 형식으로 사용하도록 선택합니다.

이것은 새로운 것입니다. 그들은 실제로 당신이 말한 사람인지 확인하기 위해 모든 요청을 확인하는 데 사용되었습니다. 이것은 길가로 며칠이 아닌 몇 분 안에 인증서를 얻을 수 있습니다.

kls
소스
그렇다면 왜 GoDaddy가 "Go Daddy Class 2 인증 기관"입니까? 인증 기관 클래스가 있습니까?
jneff 2016 년
8
@jneff : GoDaddy에는 "GoDaddy Class 2 인증 기관"이라고하는 CA가 있습니다. 내부 CA의 이름을 원하는대로 지정할 수 있습니다. 원하는 경우 "GoDaddy Class Asparagus CA"라고 부를 수 있습니다.
David Schwartz
5

"인증서 클래스"값은 순수한 마케팅 자료입니다. 기술적으로 "인증 기관"(CA)은 브라우저의 사전 설치된 인증서 저장소에있는 일반적인 SSL / TLS 인증서입니다. 단, 이러한 인증서 에는 거의 모든 일반 인증서에 포함 된 추가 확장 플래그가 포함되어 있지 않습니다 .

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

기술적으로, 브라우저의 인증서 저장소에있는 모든 CA는 서명 한 인증서에이 확장을 포함 시키지 않고 추가 CA 인증서를 작성할 수 있으며 CA 정책 만으로는 이 를 피할 수 있습니다. EV (Extended Verification) 인증서는 추가 확장 플래그 일뿐입니다.

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

"중요하지 않음"상태를 확인하십시오. 모든 소프트웨어는이 내용을 무시해도됩니다. CA가 서명하는 모든 인증서에이 플래그를 추가하지 못하게하는 유일한 방법은 자체 정책입니다. 그 외에는 인증서에 서명하기 전에 인증서 파일에 몇 바이트 만 추가됩니다.

따라서 기본적으로이 모든 것은 브라우저에 허용 된 가장 약한 CA 와 일치하는 보안을 갖추게됩니다 . "인증서 클래스"는 기술적으로 사용자가 볼 수있는 CA 레이블 내부 에만 존재 하므로 보안 상 실제 차이는 없습니다. 모든 CA는 기술적으로 동일하기 때문에 실제로 적용되는 단일 CA 정책이 실제로 제정 일 경우 거의 차이가 없습니다. 이는 잠재적 인 공격자가 항상 다른 CA를 사용하여 가짜 인증서를 얻을 수 있기 때문입니다.

Moxie Marlinspike 가 Black Hat USA 2011 ( http://www.youtube.com/watch?v=Z7Wl2FW2TcA) 에서 "SSL And The Future Of Authenticity"라는 강연을 시청하는 것이 좋습니다 . 현재 CA 시스템이 왜 약한 지 이해하는 데 도움이됩니다.

클라이언트 소프트웨어에서 기본 경고 메시지가 표시되는 인증서를 구입 하는 것이 좋습니다 . 브라우저 UI에서 더 좋은 배지를 원하면 EV 인증서를 구매 하십시오 . 만약과 더 많은 보안을 필요로 항상 스스로 인증서의 지문을 확인; 신뢰 결코 어떤 제대로 자신의 물건을 할 수있는 타사 CA를.

미코 란 탈라 넨
소스
3

좀 빠지는. 가장 유명한 인증서 공급 업체는 해당 클래스 3 체크리스트를 모두 수행합니다. EV 인증서는 동일한 수표의 추가 버전 일 뿐이며 '정기적 인'수 많은 이유로 인해 해당 검사에 실패 할 수 있습니다.

sysadmin1138
소스
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.