¿Cuál es el impacto del nivel de validación de certificados (o clase) en las aplicaciones web implementadas?

Navega tus respuestas
4

Los certificados pueden tener un nivel de clase (o nivel de validación). ¿Cuál es el impacto de estos niveles en las aplicaciones web implementadas?

Más específicamente:

  1. ¿El nivel de certificado está incluido en el propio certificado?

  2. ¿Se puede usar un certificado de nivel 1 para implementar una aplicación web que incluya un servicio de pago?

  3. ¿Aparecen ventanas emergentes en el lado del usuario si el certificado de un sitio web es demasiado bajo? En caso afirmativo, ¿a qué nivel?

Gracias.

    
pregunta Jérôme Verstrynge 29.09.2011 - 16:43
fuente

1 respuesta

4

  1. El nivel de certificado generalmente se puede ver en el certificado (por ejemplo, los certificados gratuitos de StartCom tienen OU=StartCom Free Certificate Member, O=Persona Not Validated en el DN del sujeto - aparentemente ya no (vea más abajo), y se usan certificados de CA intermedios separados para diferentes niveles). Pero al menos en Firefox, esta información no está fácilmente disponible en la interfaz de usuario del navegador (necesita acceder a la ventana de propiedades del certificado con mucha información técnica para verla); solo los certificados de EV están claramente indicados, y todo lo que está debajo de EV se trata básicamente igual.

    Requisitos básicos de CA / Browser Forum para la emisión y gestión de certificados de confianza pública (versión 1.0 adoptada el 22 de noviembre . 2011 con una Fecha de entrada en vigencia del 1 de julio de 2012) especifique dos identificadores de Política de certificado que las CA podrían utilizar opcionalmente para afirmar el nivel de validación de identidad:

    • 2.23.140.1.2.1: solo se realizó una validación de dominio;
    • 2.23.140.1.2.2: la identidad del sujeto se validó antes de emitir el certificado.

    Al menos StartCom ahora usa 2.23.140.1.2.1 en los certificados de Clase 1 recién emitidos, y ya no incluye un OU=StartCom Free Certificate Member, O=Persona Not Validated legible para las personas en el DN del sujeto. Sin embargo, actualmente los navegadores no parecen prestar atención a estos OID de políticas cuando muestran la información del certificado (por ejemplo, Mozilla bug # 740571 aún está abierto).

  2. El uso de certificados de nivel 1 con fines comerciales puede ir en contra de la política de CA. La CA puede negarse a emitir el certificado si el nombre de dominio obviamente sugiere un uso comercial, o revocar el certificado más tarde por violar la política.

  3. Si un certificado es válido (no caducado, se confía en el certificado raíz correspondiente, no hay problemas para verificar la cadena de confianza y las verificaciones de revocación se pasan con éxito), no habrá ventanas emergentes de advertencia independientemente de la nivel de validación de certificados.

respondido por el Sergey Vlasov 01.10.2011 - 15:04
fuente

Lea otras preguntas en las etiquetas

Mi servidor de nombres DNS no es compatible con las consultas de los clientes de DNSSec, ¿qué alternativas tengo? Recursos / herramientas para controlar el acceso al correo electrónico corporativo en teléfonos inteligentes