我刚刚从 GoDaddy.com 获得了“高级 EV SSL 证书”。显然,从 8 个月前开始,GoDaddy 就不再提供 3 类证书。(http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/)他们还提到证书的用途是:
第 1 类针对个人,用于电子邮件。
第 2 类适用于组织,需要提供身份证明。
第 3 类用于服务器和软件签名,由颁发证书的机构进行独立的验证和身份及权限检查。
第4类适用于公司之间的网上商业交易。
5 级适用于私人组织或政府安全
- EV 证书验证与 3 类验证不是一样吗?为什么 EV 证书不仅仅是 3 类?
- 人们使用 4 类证书吗?从技术上讲,我们将证书用于 B 到 B SOAP。这属于 4 类。真的需要 4 类吗?
- CA 及其颁发的证书的列表在哪里?
- 既然它归结为加密,那么除了验证您所说的您的身份之外,证书之间还有什么主要区别吗?
- 什么决定了 CA 是否可以颁发 2 类证书、3 类证书和 4 类证书?
谢谢!
答案1
营销炒作(和成本)。这不是规范的一部分。以下来自维基百科:
http://en.wikipedia.org/wiki/Public_key_certificate
供应商定义的类别
VeriSign 使用类别的概念来表示不同类型的数字证书[3]:
- 第 1 类针对个人,用于电子邮件。
- 第 2 类适用于组织,需要提供身份证明。
- 第 3 类用于服务器和软件签名,由颁发证书的机构进行独立的验证和身份及权限检查。
- 第4类适用于公司之间的网上商业交易。
- 第 5 类适用于私人组织或政府安全。
其他供应商可能选择使用不同的类或根本不使用类,因为 SSL 协议中没有指定这一点,但是,大多数供应商确实选择以某种形式使用类。
这是新事物。他们过去会实际验证所有请求,以确保您的身份与您所说的一致。现在这一技术已经过时了,您可以在几分钟内而不是几天内获得证书。
答案2
任何“证书类别”值都纯粹是营销手段。从技术上讲,“证书颁发机构”(CA) 只是浏览器预装证书存储中的常规 SSL/TLS 证书,但这些证书确实不是包括几乎每个普通证书中嵌入的额外扩展标志:
Certificate Basic Constraints
Critical
Is not a Certificate Authority
从技术上讲,浏览器证书存储区中的任何 CA 都可以通过以下方式创建其他 CA 证书:不是将此扩展包含在他们签署的证书中,并且只有 CA政策可以避免这种情况。扩展验证 (EV) 证书只是一个额外的扩展标志,它表示
Certificate Policies
Not Critical
Extended Validation (EV) SSL Server Certificate
请注意“不重要”状态;任何软件都可以忽略这些内容。唯一阻止 CA 将此标志添加到他们签署的每个证书的原因是他们自己的政策。除此之外,在签署证书之前,它只是在证书文件中添加了几个字节。
因此,基本上这一切都归结为拥有与最弱曾经被浏览器接受的 CA。“证书类别”在技术上是存在的仅有的在用户可见的 CA 标签内,因此在安全性方面没有实际差异。因为所有 CA 在技术上都是相同的,所以即使单个 CA 实际执行的策略是合理的,也几乎没有任何差异 - 这是因为潜在的攻击者总是可以使用其他 CA 来获取其伪造证书。
我强烈建议观看莫克西·马林斯派克2011 年美国黑帽大会上发表的题为“SSL 与真实性的未来”的演讲:http://www.youtube.com/watch?v=Z7Wl2FW2TcA.它可以帮助您理解为什么当前的CA系统非常薄弱。
我建议购买任何证书会在您的客户端软件中默认发出警告。如果你想要浏览器 UI 中有更好的徽章,请购买任何EV 证书。如果什么时候您需要更高的安全性,请始终亲自检查证书指纹;永远不要相信任何第三方CA可以妥善履行其职责。
答案3
不完全是。大多数信誉良好的证书供应商都会进行第 3 类检查。EV 证书只是相同检查的额外全面版本,您可能会因为比“常规”检查更多的原因而无法通过这些检查。