我刚从GoDaddy.com获得了“高级EV SSL证书”。显然,截至8个月前,GoDaddy还没有提供3级证书。(http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/)他们还提到证书的使用是:
适用于个人的1类,用于发送电子邮件。
组织2类,需要提供身份证明。
服务器和软件签名的类别3,由签发的证书颁发机构进行独立的验证以及身份和权限的检查。
公司之间在线业务交易的第4类。
私人组织或政府安全的第5类
谢谢!
Answers:
市场炒作(和成本)。这不是规范的一部分。这是从维基百科:
http://en.wikipedia.org/wiki/Public_key_certificate
供应商定义的类
VeriSign对不同类型的数字证书使用类的概念[3]:
其他供应商可能选择使用不同的类,或者根本不使用任何类,因为SSL协议中未指定此类,但是大多数供应商选择使用某种形式的类。
这是新的。他们过去通常会验证所有请求,以确保您是您所说的人。这已经过去了,所以您可以在几分钟而不是几天内获得证书。
任何“证书类别”的值都是纯粹的营销材料。从技术上讲,“证书颁发机构”(CA)只是浏览器预先安装的证书存储区中的常规SSL / TLS证书,除了以下事实:这些证书不包含几乎所有普通证书中都嵌入的额外扩展标志:
Certificate Basic Constraints
Critical
Is not a Certificate Authority
从技术上讲,浏览器的证书存储区中的任何CA都可以通过在其签名的证书中不包括此扩展名来创建其他CA证书,只有CA 策略才能避免这种情况。扩展验证(EV)证书只是附加的扩展标志,它表示
Certificate Policies
Not Critical
Extended Validation (EV) SSL Server Certificate
注意“非关键”状态;任何软件都可以随意忽略这些东西。阻止CA将此标志添加到他们签署的每个证书的唯一方法是他们自己的策略。除此之外,在对证书进行签名之前,仅将几个字节添加到了证书文件中。
因此,基本上,所有这些都归结为具有与浏览器所接受的最弱的 CA 相匹配的安全性。“证书班”在技术上存在只对用户可见CA标签内部,它在安全零现实世界的区别。因为所有CA在技术上都是相同的,所以如果单个CA的实际实施的策略实际上是健全的,则差异几乎为零-这是因为潜在的攻击者总是可以使用另一个CA来获取其伪造证书。
我强烈建议您观看Moxie Marlinspike在Black Hat USA 2011上发表的名为“ SSL和真实性的未来”的演讲:http : //www.youtube.com/watch?v=Z7Wl2FW2TcA。它可以帮助您了解为什么当前的CA系统非常薄弱。
我建议购买任何会获得默认警告的证书,以使其在客户端软件中保持静默。如果要在浏览器用户界面中使用更好的徽章,请购买任何 EV证书。如果和当您需要更多的安全,经常检查自己的证书指纹; 永远不要信任任何第三方CA来正确执行其任务。
不完全的。大多数信誉良好的证书供应商都会执行所有该Class 3清单。EV证书只是这些检查的更彻底的版本,您可以通过“常规”检查的更多原因使这些检查不及格。