SSL-Zertifikat Klasse 2 gegen Klasse 3 gegen Klasse 4

Ich habe gerade ein "Premium EV SSL Certificate" von GoDaddy.com erhalten. Anscheinend bietet GoDaddy seit 8 Monaten keine Class 3-Zertifikate mehr an. ( http://support.godaddy.com/groups/go-daddy-customers/forum/topic/what-class-is-my-cert/ ) Außerdem wurde die Verwendung von Zertifikaten als:

Klasse 1 für Einzelpersonen, die für E-Mails bestimmt sind.

Klasse 2 für Organisationen, für die ein Identitätsnachweis erforderlich ist.

Klasse 3 für Server und Software-Signaturen, für die die ausstellende Zertifizierungsstelle eine unabhängige Überprüfung und Überprüfung der Identität und Autorität durchführt.

Klasse 4 für den Online-Geschäftsverkehr zwischen Unternehmen.

Klasse 5 für private Organisationen oder staatliche Sicherheit

1. Ist die Validierung des EV-Zertifikats nicht mit der Validierung der Klasse 3 identisch? Warum sind EV-Zertifikate nicht nur Klasse 3?
2. Verwenden Menschen Zertifikate der Klasse 4? Technisch verwenden wir unser Zertifikat für eine B to B SOAP. Was würde unter Klasse 4 fallen. Wird eine Klasse 4 wirklich benötigt?
3. Wo ist eine Liste der Zertifizierungsstellen und der von ihnen ausgestellten Zertifikate?
4. Da es sich um eine Verschlüsselung handelt, gibt es einen großen Unterschied zwischen den Zertifikaten, abgesehen von der Überprüfung, dass Sie sagen, Sie sind, wer Sie sind?
5. Was bestimmt, ob eine Zertifizierungsstelle Zertifikate der Klassen 2 gegen Zertifikate der Klassen 3 und 4 ausgeben kann?

Vielen Dank!

Marketing-Hype (und Kosten). Dies ist nicht Teil der Spezifikation. Dies ist aus Wikipedia:

http://en.wikipedia.org/wiki/Public_key_certificate

Hersteller definierte Klassen

VeriSign verwendet das Klassenkonzept für verschiedene Arten von digitalen Zertifikaten [3]:

• Klasse 1 für Einzelpersonen, die für E-Mails bestimmt sind.
• Klasse 2 für Organisationen, für die ein Identitätsnachweis erforderlich ist.
• Klasse 3 für Server und Software-Signaturen, für die die ausstellende Zertifizierungsstelle eine unabhängige Überprüfung und Überprüfung der Identität und Autorität durchführt.
• Klasse 4 für den Online-Geschäftsverkehr zwischen Unternehmen.
• Klasse 5 für private Organisationen oder staatliche Sicherheit.

Andere Anbieter verwenden möglicherweise andere Klassen oder gar keine Klassen, da dies im SSL-Protokoll nicht angegeben ist. Die meisten entscheiden sich jedoch für die Verwendung von Klassen in irgendeiner Form.

Das ist neu (ish). Früher haben sie alle Anfragen überprüft, um sicherzustellen, dass Sie der sind, für den Sie sich ausgesprochen haben. Dies ist auf der Strecke geblieben, sodass Sie ein Zertifikat in wenigen Minuten anstatt in wenigen Tagen erhalten können.

Jeder Wert für "Zertifikatsklasse" dient nur der Vermarktung. Technisch gesehen ist eine "Zertifizierungsstelle" (Certificate Authority, CA) nur ein normales SSL / TLS-Zertifikat im vorinstallierten Zertifikatspeicher des Browsers, mit der Ausnahme, dass diese Zertifikate nicht das zusätzliche Erweiterungsflag enthalten, das in so ziemlich jedem normalen Zertifikat enthalten ist:

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

Technisch gesehen kann jeder CA in Ihrem Browser Certificate Store zusätzliche CA - Zertifikate erstellen , indem nicht diese Erweiterung im Zertifikat einschließlich sie sich anmelden und nur die CA Politik kann man erkennen, vermeiden. Und das Extended Verification (EV) -Zertifikat ist nur ein zusätzliches Erweiterungsflag, das besagt

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

Beachten Sie den Status "Nicht kritisch". Jede Software kann dieses Zeug ignorieren. Das einzige, was eine Zertifizierungsstelle daran hindert, dieses Flag zu jedem von ihnen signierten Zertifikat hinzuzufügen, ist ihre eigene Richtlinie. Ansonsten sind es nur ein paar Bytes, die der Zertifikatsdatei hinzugefügt werden, bevor das Zertifikat signiert wird.

Im Grunde läuft alles darauf hinaus, eine Sicherheit zu haben, die der schwächsten Zertifizierungsstelle entspricht, die jemals in den Browsern akzeptiert wurde. Die "Zertifikatsklasse" ist technisch gesehen nur innerhalb des vom Benutzer sichtbaren CA-Etiketts vorhanden, sodass die Sicherheitsunterschiede in der realen Welt gleich Null sind. Da alle Zertifizierungsstellen technisch identisch sind, macht es fast keinen Unterschied, ob die tatsächlich erzwungene Richtlinie einer einzelnen Zertifizierungsstelle tatsächlich vernünftig ist. Dies liegt daran, dass ein potenzieller Angreifer immer eine andere Zertifizierungsstelle verwenden kann, um sein gefälschtes Zertifikat abzurufen.

Ich würde Moxie Marlinspikes Vortrag mit dem Titel "SSL und die Zukunft der Authentizität" in Black Hat USA 2011 wärmstens empfehlen : http://www.youtube.com/watch?v=Z7Wl2FW2TcA . Es hilft Ihnen zu verstehen, warum das aktuelle CA-System sehr schwach ist.

Ich würde empfehlen, jedes Zertifikat zu kaufen , das Standardwarnungen erhält, damit es in Ihrer Client-Software nicht mehr verwendet wird. Wenn Sie ein schöneres Abzeichen in der Browser-Benutzeroberfläche wünschen, kaufen Sie ein EV-Zertifikat. Wenn und wenn Sie mehr Sicherheit benötigen, immer überprüfen , das Zertifikat Fingerabdruck selbst; Vertrauen Sie niemals einer Drittanbieter-Zertifizierungsstelle, dass diese ihre Aufgaben ordnungsgemäß erledigt.

Nicht ganz. Die meisten seriösen Zertifikatanbieter führen alle diese Checklisten der Klasse 3 durch. Ein EV-Zertifikat ist nur eine besonders gründliche Version der gleichen Überprüfungen, und Sie können diese Überprüfungen aus viel mehr Gründen als aus "normalen" Gründen nicht bestehen.