Firma digital: Clase 2 vs Clase 3

Advertencia: medio conocimiento por delante.

Si observa cualquier certificado dado, verá que contiene varios campos que, en teoría, podrían ser verificados por una aplicación. Por ejemplo, una aplicación puede rechazar un certificado que usa criptografía débil (Google Chrome hace esto). A los certificados también se les puede dar un propósito específico (por ejemplo, usar solo esto para la autenticación del cliente). Así que es posible que una aplicación que esperaba algún tipo de certificado específico rechace un "no clasificado".

Además, en teoría, una aplicación podría ser exigente en cuanto a las autoridades cert en las que confiaba (por ejemplo, solo las de la India ...). Por lo general, estas listas se distribuyen como parte del sistema operativo o de las bibliotecas SSL del sistema operativo, y los navegadores vienen (creo) con sus propias listas adicionales de autoridades certificadas de confianza.

Ahora, ya que la mayoría de las aplicaciones no crean su propio cripto y no mantienen su propia lista de autoridades de certificación confiables, y en su lugar utilizan bibliotecas de software para verificar firmas, supongo que debería estar de acuerdo con el uso de un no -ind cert. Piense en lo que pasaría con la interoperabilidad si cada otra aplicación utilizara diferentes reglas sobre qué certificados aceptar.

Una excepción sería si estuviera tratando con un software específico escrito por el gobierno de la India, que podría tener restricciones estrictas sobre qué certificados aceptar.

Pero realmente no creo que haya forma de decirlo con seguridad. Esta respuesta es en su mayoría conjeturas.

Otra media respuesta.

Mi primer pensamiento es que esto tiene una sorprendente similitud con DV / OV / EV niveles de certificado utilizados en SSL :

  

Certificado de clase 0 : este certificado se emitirá solo para fines de demostración / prueba.

No equivalente.

  

Certificado de Clase 1 : los certificados de Clase 1 se emitirán a personas / suscriptores privados. Estos certificados confirmarán que el nombre de usuario (o alias) y la dirección de correo electrónico forman un tema no ambiguo dentro de la base de datos de las autoridades certificadoras.

Un certificado validado en el dominio (DV) es un certificado digital X.509 que se usa normalmente para la Seguridad de la capa de transporte (TLS) donde la identidad del solicitante se ha validado demostrando cierto control sobre un DNS dominio. [wikipedia]

  

Certificado de Clase 2 : estos certificados se emitirán tanto para uso del personal comercial como de particulares. Estos certificados confirmarán que la información en la aplicación provista por el suscriptor no entra en conflicto con la información en bases de datos de consumidores bien reconocidas.

Certificado SSL validado por la organización (OV) : los certificados de organización son de confianza. Las organizaciones están estrictamente autenticadas por agentes reales contra las bases de datos de registro de empresas alojadas por los gobiernos.

  

Certificado de Clase 3 : este certificado se emitirá a individuos y organizaciones. Dado que se trata de certificados de alta seguridad, principalmente destinados a aplicaciones de comercio electrónico, se emitirán a individuos solo en su aspecto personal (físico) ante las Autoridades de certificación.

Un Certificado de Validación Extendida (EV) es un certificado utilizado para los sitios web y software de HTTPS que demuestra que la entidad legal controla el sitio web o el paquete de software. La obtención de un certificado EV requiere la verificación de la identidad [legal] de la entidad solicitante por una autoridad de certificación (CA). [wikipedia]

Tenga en cuenta que hay reglas muy estrictas ( pdf ) para la profundidad de la verificación de antecedentes que debe realizar una CA antes de emitir un certificado EV.