एसएसएल प्रमाणपत्र कक्षा 2 बनाम कक्षा 3 बनाम कक्षा 4


20

मुझे सिर्फ "प्रीमियम ईवी एसएसएल सर्टिफिकेट" फॉर्म GoDaddy.com मिला है। जाहिरा तौर पर 8 महीने पहले के रूप में GoDaddy कक्षा 3 प्रमाण पत्र प्रदान नहीं करता है। ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) वे भी प्रमाण-पत्र के उपयोग के लिए:

व्यक्तियों के लिए कक्षा 1, ईमेल के लिए अभिप्रेत है।

संगठनों के लिए कक्षा 2, जिसके लिए पहचान के प्रमाण की आवश्यकता होती है।

सर्वर और सॉफ्टवेयर पर हस्ताक्षर करने के लिए कक्षा 3, जिसके लिए प्रमाण पत्र जारी करने वाले प्राधिकारी द्वारा पहचान और प्राधिकरण का स्वतंत्र सत्यापन और जांच की जाती है।

कंपनियों के बीच ऑनलाइन व्यापार लेनदेन के लिए कक्षा 4।

निजी संगठनों या सरकारी सुरक्षा के लिए कक्षा 5

  1. क्या ईवी सर्टिफिकेट सत्यापन कक्षा 3 के सत्यापन के समान नहीं है? EV सर्टिफिकेट सिर्फ क्लास 3 क्यों नहीं हैं?
  2. क्या लोग कक्षा 4 प्रमाण पत्र का उपयोग करते हैं? तकनीकी रूप से हम B से B SOAP के लिए अपने प्रमाणपत्र का उपयोग करते हैं। जो कक्षा 4 के अंतर्गत आएगा। क्या कक्षा 4 की वास्तव में आवश्यकता है?
  3. CA की सूची और उनके द्वारा जारी किए गए प्रमाणपत्र कहां हैं?
  4. चूंकि यह एन्क्रिप्शन के लिए उबलता है, इसलिए प्रमाणपत्र के अलावा सत्यापन के बीच कोई बड़ा अंतर है कि आप कहते हैं कि आप कौन हैं?
  5. यदि कोई CA क्लास 2 बनाम क्लास 3 और क्लास 4 सर्टिफिकेट दे सकता है तो क्या निर्धारित करता है?

धन्यवाद!

जवाबों:


17

विपणन प्रचार (और लागत)। यह कल्पना का हिस्सा नहीं है। यह विकिपीडिया से है:

http://en.wikipedia.org/wiki/Public_key_certificate

विक्रेता परिभाषित कक्षाएं

वेरिसाइन विभिन्न प्रकार के डिजिटल प्रमाणपत्रों के लिए कक्षाओं की अवधारणा का उपयोग करता है [3]:

  • व्यक्तियों के लिए कक्षा 1, ईमेल के लिए अभिप्रेत है।
  • संगठनों के लिए कक्षा 2, जिसके लिए पहचान के प्रमाण की आवश्यकता होती है।
  • सर्वर और सॉफ्टवेयर पर हस्ताक्षर करने के लिए कक्षा 3, जिसके लिए प्रमाण पत्र जारी करने वाले प्राधिकारी द्वारा पहचान और प्राधिकरण का स्वतंत्र सत्यापन और जांच की जाती है।
  • कंपनियों के बीच ऑनलाइन व्यापार लेनदेन के लिए कक्षा 4।
  • निजी संगठनों या सरकारी सुरक्षा के लिए कक्षा 5।

अन्य विक्रेता अलग-अलग वर्गों या बिना किसी वर्ग का उपयोग करना चुन सकते हैं क्योंकि यह एसएसएल प्रोटोकॉल में निर्दिष्ट नहीं है, हालांकि, अधिकांश किसी न किसी रूप में कक्षाओं का उपयोग करने का विकल्प चुनते हैं।

यह नया (ईश) है। वे वास्तव में यह सुनिश्चित करने के लिए सभी अनुरोधों का सत्यापन करते थे कि आपने जो कहा था वह आप थे। यह रास्ते से चला गया है ताकि आप कुछ दिनों के बजाय कुछ मिनटों में एक प्रमाण पत्र प्राप्त कर सकें।


तो GoDaddy "गो डैडी क्लास 2 प्रमाणन प्राधिकरण" क्यों है? क्या सर्टिफिकेट अथॉरिटीज की कक्षाएं हैं?
जनेफ

8
@jneff: GoDaddy का एक CA है जिसे वे "GoDaddy Class 2 प्रमाणन प्राधिकरण" कहते हैं। वे अपने आंतरिक सीए का नाम कुछ भी चाहते हैं। वे चाहें तो इसे "GoDaddy Class Asparagus CA" कह सकते हैं।
डेविड श्वार्ट्ज

5

कोई भी "सर्टिफिकेट क्लास" मूल्य विशुद्ध रूप से विपणन सामान है। तकनीकी रूप से, "प्रमाणपत्र प्राधिकरण" (CA) ब्राउज़र के पूर्वस्थापित प्रमाणपत्र स्टोर में सिर्फ एक नियमित एसएसएल / टीएलएस प्रमाणपत्र है, इस तथ्य के अलावा कि इन प्रमाणपत्रों में अतिरिक्त विस्तार ध्वज शामिल नहीं है जो कि हर सामान्य प्रमाण पत्र के अंदर बहुत अधिक एम्बेडेड है:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

तकनीकी रूप से, आपके ब्राउज़र के सर्टिफिकेट स्टोर में कोई भी सीए उनके द्वारा हस्ताक्षरित प्रमाण पत्र में इस एक्सटेंशन को शामिल नहीं करके अतिरिक्त सीए प्रमाण पत्र बना सकता है और केवल सीए पॉलिसी ही इससे बच सकती है। और विस्तारित सत्यापन (EV) प्रमाणपत्र केवल एक अतिरिक्त एक्सटेंशन ध्वज है जो कहता है

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

"क्रिटिकल नहीं" स्थिति पर ध्यान दें; कोई भी सॉफ़्टवेयर इस सामान को अनदेखा करने के लिए स्वतंत्र है। केवल एक चीज जो सीए को इस ध्वज को हर प्रमाण पत्र में जोड़ने से रोकती है, जिस पर वे हस्ताक्षर करते हैं, यह उनकी अपनी नीति है। इसके अलावा, यह प्रमाणपत्र पर हस्ताक्षर करने से पहले प्रमाणपत्र फ़ाइल में जोड़े गए बाइट्स के केवल एक जोड़े हैं।

तो मूल रूप से यह सब सुरक्षा के लिए उबलता है जो सबसे कमजोर सीए से मेल खाता है जिसे कभी ब्राउज़रों में स्वीकार किया गया है। "सर्टिफिकेट क्लास" तकनीकी रूप से केवल उपयोगकर्ता दृश्यमान सीए लेबल के अंदर मौजूद है, इसलिए इसमें सुरक्षा में शून्य वास्तविक विश्व अंतर है। क्योंकि सभी सीए तकनीकी रूप से समान हैं, यह लगभग शून्य अंतर बनाता है यदि वास्तव में एक सीए की लागू नीति वास्तव में समझदार है - ऐसा इसलिए है क्योंकि संभावित हमलावर हमेशा अपना नकली प्रमाण पत्र प्राप्त करने के लिए कुछ अन्य सीए का उपयोग कर सकता है।

मैं ब्लैक हैट यूएसए 2011 में दिए गए "एसएसएल एंड द फ्यूचर ऑफ ऑथेंटिसिटी " नामक मोक्सी मारलिंस्पाइक द्वारा बात देखने की अत्यधिक सलाह दूंगा : http://www.youtube.com/watch?v=Z7Wl2FW2TcA । यह आपको यह समझने में मदद करता है कि वर्तमान सीए सिस्टम बहुत कमजोर क्यों है।

मैं आपके क्लाइंट सॉफ़्टवेयर में चुप रहने के लिए डिफ़ॉल्ट चेतावनी प्राप्त करने वाले किसी भी प्रमाण पत्र को खरीदने की सलाह दूंगा । यदि आप ब्राउज़र UI में अच्छे बैज चाहते हैं, तो कोई भी ईवी प्रमाणपत्र खरीदें । अगर व जब आपको अधिक सुरक्षा की आवश्यकता होती है, तो हमेशा अपने आप से प्रमाण पत्र फिंगरप्रिंट की जांच करें; अपने सामान को ठीक से करने के लिए कभी भी किसी तीसरे पक्ष के सीए पर भरोसा न करें ।


3

काफी नहीं। अधिकांश प्रतिष्ठित सर्टिफिकेट विक्रेता उस कक्षा 3 की सभी चेकलिस्ट करते हैं। ईवी प्रमाणपत्र एक ही चेक का अतिरिक्त अतिरिक्त संस्करण है, और आप उन चेक को कई और कारणों से विफल कर सकते हैं जो 'नियमित' हैं।

हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.