免费或付费 SSL 证书是否与测试服务的安全等级有关,例如SSL Server Test例如SSL 实验室或者这一切都取决于服务器的安全配置?
答案1
不是。从安全或加密的角度来看,免费证书和付费证书之间绝对没有区别。而且安全等级实际上更多地取决于 Web 服务器配置(允许的密码套件等),而不是证书的具体细节。
答案2
颁发那些带有所谓“扩展验证”(“EV”)支持的付费 SSL 证书(在某些浏览器中显示为“绿色地址栏提示”)确实包括在合理范围内验证证书的潜在持有者确实是声称拥有分配给要颁发证书的规范名称的商业实体。
这种验证通常要求商业实体在特定国家(半)官方的“黄页”式注册中心注册,并且能够通过固定电话号码联系该实体的几位执行人员。
不过,值得强调的是,这一切都是为了社会事务。
就 X.509 证书安全性背后的“数学”而言,EV 证书与任何其他证书(甚至是自签名的、通过运行工具集中的某些工具创建的openssl)没有任何区别。
但另一方面,还有另一个社会问题:如果证书不仅用于提供加密,还用于向最终用户“呈现”服务(公开可用的 Web 服务器据说是最好的例子),那么颁发证书的实体可能很重要。原因是用户使用 Internet 浏览器访问网站,这些浏览器要么维护自己的受信任根(以及一组 2 级和 3 级,即下级)证书颁发机构列表,要么访问系统的此类 CA 列表。因此,如果您生成自己的证书并将其粘贴到 Web 服务器上,无论证书有多“好”,数学上您的证书,用户的浏览器就会向它发出“大红色”警告,提示存在不安全的连接:仅仅是因为它看到的“已知”CA 列表中不包含颁发您证书的 CA。
总结
- 付费证书只有属于 EV 类型才有效。
- 他们比其他人更好,只要社会的与证书使用相关的方面。
哦,顺便说一下,付费证书提供商有时会犯一些严重的错误,这会导致他们的 CA 的证书 从信任名单中被除名流行的浏览器。