Какой сертификат SSL мне нужен?

Ответ 1

Похоже, вы ищете два разных типа сертификатов:

1 - SSL-сертификат - для аутентификации вашего веб-сайта/сервера приложений.

2 - Сертификат подписи кода - для целостности/аутентификации exe, которую вы доставляете.

Обычно это два разных сертификата с двумя разными профилями сертификатов. По крайней мере, вам нужен один сертификат с двумя разными ключами или расширенными ключами.

Несколько мыслей в определенном порядке:

• Проверьте целевые браузеры, каждый из них должен иметь набор предварительно сконфигурированных корневых сертификатов - это наиболее широко известные публичные источники сертификатов. Вероятно, я бы посмотрел как Firefox, так и IE. Поставщики сертификатов, известные мне как большие имена, - Versign, GeoTrust, RSA, Thawte, Entrust. Но там также GoDaddy и многие другие. Все, что поставляется в поставляемом браузере как доверенный корневой сертификат, позволит вам подключиться к вашим пользователям без дополнительной защиты.

• Я предлагаю Googling для "сертификата подписи кода" и "SSL-сертификата".

• Как вы настраиваете свой сайт, будет определяться, проверен ли ваш веб-сайт или проверен ли ваш сервер аутентификации. Если сертификат хранится на сервере приложений, ваш пользователь все время получает SSL-шифрование на сервере. Но многие сайты ставят SSL-сертификат немного дальше - как на брандмауэре, а затем создают для него набор серверов приложений. Я не вижу недостатка безопасности в этом, пока настройка сети тщательно настроена. Для внешних пользователей обе конфигурации будут выглядеть одинаково: они получат блокировку в своих браузерах и сертификат, который сообщает им, что www.foo.com предлагает ему учетные данные.

Я вижу довольно интересные предложения для SSL-сертификатов:  - GoDaddy - $12.99  - Register.com - $14.99

Но они не обязательно являются сертификатами подписи кода. Например, хотя GoDaddy SSL Cert составляет $12.99, их сертификаты подписывания кода составляют 199,99 $! Эта часть многих бизнес-моделей поставщиков сертификатов - заманивает вас дешевыми сертификатами SSL и заставляет вас платить за подписание кода. Можно сделать вывод, что сертификаты подписи кода являются относительно более высокими. Но также... они должны каким-то образом субсидировать дешевые SSL-сертификаты.

Теоретически, должно быть возможно сделать сертификат, который выполняет как подписание кода, так и SSL, но я не уверен, что вы этого хотите. Если что-то должно произойти, было бы неплохо выделить две функции. Кроме того, я уверен, что вам придется позвонить поставщикам сертификатов и спросить, сделали ли они это, и если они этого не сделают, то, если они их сделают, это, скорее всего, поднимет цену довольно высоко.

Что касается поставщика, все, что нужно учитывать:

• Технология практически одинакова. В эти дни, нацелитесь на минимум 128-битных ключей, я бы, вероятно, ударил его до 256, но я параноик.
• За пределами браузера acceptabiliy, единственная причина платить больше - это признание имени. Среди параноидных лавочек безопасности я ожидал бы, что RSA, Thawte, Verisign и GeoTrust будут иметь очень хорошую репутацию. Возможно, EnTrust тоже. Это, вероятно, имеет значение только в том случае, если вы имеете дело с продуктом, ориентированным на безопасность. Я думаю, что ваш средний пользователь не будет так осведомлен.
• С точки зрения безопасности вы выглядите так же безопасно, как и безопасность вашего корневого центра сертификации (Certificate Authority). Для действительно параноидального процесса, нужно было бы заглянуть в справочный материал о том, как компания владеет своим корнем и выдающими ЦС, как они физически защищены? сетевая безопасность? контроль доступа персонала? Кроме того, есть ли у них общедоступные CRL (списки отзыва сертификатов), как вы можете отменить сертификат? Предлагают ли они OCSP (протокол статуса сертификатов онлайн)? Как они проверяют поставщиков сертификатов, чтобы убедиться, что они дают правильный сертификат правильному человеку?... Все это действительно имеет значение, если вы предлагаете что-то, что должно быть очень безопасным. Такие вещи, как медицинские записи, приложения для финансового управления, налоговая информация и т.д., Должны быть защищены. Большинство веб-приложений не так рискованны и, вероятно, не требуют такой степени проверки.

На этой последней пуле - если вы выкопаете Verisigns of the world - очень дорогие сертификаты - вы, скорее всего, увидите это значение. Они имеют огромную инфраструктуру и очень серьезно относятся к безопасности своих центров сертификации. Я не очень уверен в супер-дешевых услугах хостинга. При этом, если ваш риск низкий, 300 долларов США для SSL Cert не имеет большого смысла по сравнению с US $12.99!

Ответ 2

Итак, для серверов веб-сайта/приложений вам нужен сертификат SSL. Вам не нужен сертификат EV. Я использовал их из QuickSSL для этого, так как в отличие от некоторых других дешевых поставщиков сертификатов они не требуют установки промежуточного сертификата на сервере - что для меня никто не знает.

Для того, чтобы подписывать приложения на другой тип сертификата (например, он все еще является сертификатом X509, но тот, который вы используете для своего веб-сайта, не тот, который вы можете использовать для подписания приложения). Вам нужен сертификат подписи подлинника с помощью Verisign или Globalsign. Это более дорогая стоимость, чем простой старый SSL-сертификат, и вы должны быть объединенной компанией и создавать эти документы.