¿Importa de qué autoridad de certificación obtengo mi certificado SSL?

34

Para proteger mi sitio web con HTTPS, ¿importa de qué compañía obtengo mi certificado SSL o simplemente el navegador lo reconoce?

Desde el Area51 propuesta .

    
pregunta AviD 12.11.2010 - 00:42
fuente

6 respuestas

7

Sí, es totalmente importante. Solo puede confiar en las transacciones tanto como confía en la autoridad de certificación. Por ejemplo, si tiene un certificado firmado por DoD, eso es bastante confiable. Si tiene un certificado firmado por Chungwa Telecom, entonces quizás no tanto. Eche un vistazo a los certificados CA predeterminados de su navegador en algún momento y piense en cuánto confía en esas partes.

Recomiendo echar un vistazo a este documento para obtener una explicación completa de cómo las AC maliciosas pueden realmente causar estragos en la confianza percibida: Certified Mentiras: Detectando y derrotando al gobierno. Ataques de intercepción contra SSL

    
respondido por el pboin 12.11.2010 - 13:08
fuente
9

Supongo que realmente depende de la naturaleza de tus usuarios.

El 99.9% de los usuarios simplemente verá que el navegador no les da ningún error cuando visitan su sitio (asumiendo que compró el certificado de una compañía que tiene su certificado de CA en la tienda de certificados de su navegador).

Sin embargo, esto apunta a un problema mayor con la infraestructura PKI actualmente implementada:

Cualquier CA conocida puede crear un certificado para cualquier otro sitio, y los navegadores aceptarán ese certificado, incluso si el propietario legítimo del sitio ya tiene un certificado de otra CA.

Aunque esto es bueno de alguna manera, en la medida en que un operador de sitio puede cambiar los proveedores de CA si así lo desea, también significa que se puede usar una CA comprometida para generar certificados para sitios arbitrarios. Este problema surgió cuando el certificado de CA de CNNIC se agregó a las listas de CA de Mozilla (y otras).

Parece haber una desconfianza innata en China (posiblemente relacionada con "el gran cortafuegos"), pero en verdad, esto significa que cualquier usuario en China, cuando intenta utilizar una conexión encriptada a un sitio "subversivo", debe verificar que el certificado presentado NO fue firmado por el certificado de CNNIC CA.

Hay una extensión práctica de Firefox (Patrulla de certificados) que controla los certificados presentados por varios sitios y le advierte si el certificado cambia por alguna razón.

    
respondido por el Rogan Dawes 19.11.2010 - 07:53
fuente
4

en realidad, donde obtienes el certificado importa mucho. Recuerda que cualquiera puede crear certificado y firmar incluyendo hackers. por lo que cada navegador tiene una lista de empresas verificadas para compactar certificados de falsificación. por lo que debería obtener su certificado de una empresa reconocida internacionalmente como verisign y etc.

    
respondido por el Mohamed 12.11.2010 - 01:06
fuente
4

Desde una perspectiva, no importa mucho, siempre y cuando los certificados raíz de CA se carguen en todos los principales navegadores. Si tiene un certificado SSL de una CA en la que confían esos navegadores, a casi todos sus usuarios no les importará quién haya emitido el certificado.

Por ejemplo, suponga que está creando una aplicación interna y todos sus usuarios son empleados de la empresa. Su empresa tiene una CA interna. Su departamento de TI instala el certificado CA de su compañía en todos los sistemas de los empleados. Por lo tanto, cada vez que esos empleados visiten su aplicación, verán el candado y sabrán que está seguro.

Del mismo modo para un sitio web que solo te estás usando a ti mismo. Podría autofirmarse y estaría bien.

Desde otra perspectiva, es absolutamente importante a quién elijas . Definitivamente desea una CA que tenga procedimientos de seguridad rigurosos, por un par de razones:

  1. No desea que (por error o maliciosamente) emitan un certificado a otra persona que dice ser usted. Entonces, este tercero puede hacerse pasar por usted en la web y usted y sus usuarios están jodidos.
  2. Si se sabe que tienen seguridad laxa, entonces todos los principales navegadores emitirán actualizaciones de seguridad que eliminen su certificado de CA de su navegador. (Vea DigiNotar como ejemplo reciente (septiembre de 2011).) En este caso, tendrá que encontrar rápidamente una nueva CA e instale nuevos certificados SSL en sus servidores porque los navegadores ya no confiarán en sus antiguos certificados SSL.
respondido por el bstpierre 13.10.2011 - 14:40
fuente
2

Mientras el navegador lo reconozca. El navegador tiene una lista de CA que confía que maneja las grandes. Hay otras más pequeñas en las que confían las CA más grandes que son más baratas. El único truco es que normalmente tiene que instalar certificados adicionales en el servidor web denominados certificados en cadena o certificados intermedios para que el navegador pueda seguir la cadena de confianza desde su CA a una que sepa. Todo esto es transparente para el usuario final.

    
respondido por el chs 18.11.2010 - 22:13
fuente
1

Es importante: si elige una CA tan incompetente / deshonesta que se elimina de la tienda de certificados raíz, es mejor que se ponga en contacto con otra CA rápidamente .

NO importa: cualquier certificado aceptado por los navegadores funcionará igualmente bien.

SÍ importa: los usuarios "paranoicos" informados SÍ se preocupan de que CA haya hecho cosas malas en el pasado, así que espere que algunos usuarios lo rechacen o al menos le pregunten sobre los certificados de COMODO.

De todos modos, ¡toda la PKI de SSL es inútil!

edición mod en respuesta a la bandera "ofensiva"

    
respondido por el corrector 21.09.2011 - 00:49
fuente

Lea otras preguntas en las etiquetas