¿Cómo afecta el certificado SSL de validación extendida EV verde a la velocidad de mi sitio web (si es que lo hace) en comparación con un SSL regular?
Además, mi proveedor solo permite que los certificados EV verdes estén en la raíz (no se permiten subdominios ni comodines *. ). ¿Eso es normal? ¿Puedo mezclar EV verde para la raíz y SSL regular para todos los subdominios *.mydomain.com ?
¿La validación extendida de EV green es más lenta que un SSL regular?
Un certificado EV es solo un certificado normal pero con algunas extensiones X509 específicas para un emisor especial. El navegador compara estas extensiones con las extensiones esperadas para los certificados EV en los CA emisores y, si coinciden, mostrará la barra verde EV.
Estas extensiones X509 especiales no están relacionadas con la fuerza del certificado y, de hecho, la fuerza utilizada es la misma que con cualquier otro certificado moderno, es decir, generalmente 2048 bits con SHA-256 como algoritmo de firma. Esto significa que el tiempo necesario para la validación del certificado suele ser el mismo que con otros certificados. La única diferencia importante es que los navegadores generalmente requieren una comprobación de revocación exitosa con OCSP cuando se conectan a un sitio con un certificado EV. Y si no se utiliza el grapado OCSP, esta comprobación de revocación dará como resultado una conexión TCP adicional al responsable de respuesta OCSP, lo que ralentizará la configuración de la conexión inicial.
... mi proveedor solo permite que los certificados EV verdes estén en la raíz (no hay subdominios ni comodines *. permitidos). ¿Es eso normal?
Las reglas para certificados EV están definidas por el foro CA / Browser. Por lo tanto, encontrará en la sección 9.2.3 que los comodines no están permitidos:
Los certificados comodín no están permitidos para los certificados EV.
Sin embargo, no veo ninguna regla especial para los subdominios.
¿Puedo mezclar EV verde para la raíz y SSL regular para todos los subdominios * .mydomain.com?
Podrías hacer esto en teoría. Pero sería mejor incluir simplemente todos los nombres de host que usa en el certificado EV como nombres alternativos de sujeto.
¿Cómo afecta el certificado SSL la validación extendida verde EV al ¿La velocidad de mi sitio web (si lo hay) en comparación con un SSL regular?
El certificado SSL con EV no afecta la velocidad de carga del sitio web y funciona igual que el certificado SSL sin EV. De hecho, todos los certificados SSL vienen con el mismo cifrado de 256 bits y el cifrado de la clave raíz de 2048 bits, pero hay una diferencia entre los procesos de verificación que dan seguridad a su sitio web e inspiran a los usuarios de la web a tratar.
Cuando CA recibe la solicitud de certificado del solicitante, verificará la existencia legal, física y operativa de la entidad confirmando los registros oficiales como la información de incorporación y licencia comercial y el solicitante tiene privilegios especiales para usar el dominio.
Una vez que el certificado SSL con EV esté instalado en el sitio, habilitará "El nombre de su empresa en la barra verde", que es el signo más visible de seguridad y autenticación, y ayuda a identificar los sitios de phishing.
Además, mi proveedor solo permite que los certificados verdes EV estén en la raíz (no hay subdominios ni comodines *. permitidos). ¿Es eso normal?
Todas las CA deben seguir las pautas de CA / Browser Forum para emitir un certificado digital y las reglas correspondientes "Los certificados comodín no están permitidos para los Certificados EV".
¿Puedo mezclar EV verde para la raíz y SSL regular para todos los subdominios * .mydomain.com?
No puede obtener el certificado EV SSL para .mydomain.com, debido a un asterisco () se refiere a números ilimitados en términos de caracteres comodín.
Solución # 1
Algunos proveedores de certificados habilitan las características de SAN y permiten agregar múltiples sitios o subdominios con su certificado EV SSL para que pueda obtener el certificado EV Multi Domain SSL para sus sitios y / o subdominios. Al momento de solicitar el certificado, debe seleccionar números de nombres alternativos de sujeto y agregar dominios específicos y / o nombres de host.
Solución # 2
También puede obtener el certificado SSL EV para el dominio raíz y el certificado SSL comodín para * .mydomain.com. En ese caso, debe administrar dos certificados individuales y la barra verde no se habilitará en los dominios sib.
AFAIK, EV es solo una cosa burocrática, que requiere que tengas una ubicación física, un nombre registrado y otras cosas que te identifiquen.
Pero entonces, el certificado es el mismo, por lo que no hay una disminución en el rendimiento en comparación con un certificado DV normal.
¿Cómo afecta el certificado SSL de validación extendida EV verde a la velocidad de mi sitio web (si es que lo hace) en comparación con un SSL regular?
Ninguna en absoluto. Técnicamente, los certificados EV son lo mismo que los certificados regulares con solo un número de política OID diferente (para que los navegadores puedan diferenciar los certificados EV). La principal diferencia para EV está en el proceso de verificación de identidad cuando compra el certificado. Un certificado EV le dice a sus usuarios que la CA ha verificado la identidad del titular del certificado según el proceso EV.
Además, mi proveedor solo permite que los certificados EV verdes estén en la raíz (no hay subdominios ni comodines *. permitidos). ¿Eso es normal?
EV CA no puede emitir un certificado de comodín EV según Pauta de emisión de CA / Browser EV . EV CA puede emitir un certificado para subdominios, pero deberá realizar la verificación del dominio para cada subdominio. Por lo general, debe comprar un SAN / Certificados de dominio múltiple EV en lugar de un certificado de nombre único.
¿Puedo mezclar EV verde para la raíz y SSL regular para todos los subdominios * .mydomain.com?
Técnicamente no hay nada que te impida hacer eso. Sin embargo, a menudo esto no es una buena idea si el comodín se solapa con el EV. Esto se debe a que los certificados de comodín generalmente se implementan en una gran cantidad de máquinas y los certificados de EV generalmente se implementan en sistemas con mayor seguridad, ya que los sistemas que requieren EV son generalmente su sistema más importante. Si el comodín se filtra en cualquiera de estos sistemas, el atacante podría suplantar su dominio EV. Esto puede o no aplicarse a usted.
Algunos proveedores de certificados agregan el nombre del dominio raíz a un comodín como SAN, para que pueda El comodín también se puede utilizar para su dominio raíz. Debe tener cuidado al usar certificados con diferentes niveles de verificación en su raíz por este motivo.
Lea otras preguntas en las etiquetas tls certificates