¿Qué tipos de certificados SSL se pueden usar para el cifrado?

12

Sé que los certificados SSL de Verizon cuestan cerca de $ 600. Hay un par de alternativas baratas, pero nunca entendí realmente por qué Verizon no ofrece tales certificados. Busque RapidSSL en nameCheap . No dicen nada sobre el cifrado para el plan de $ 20.

Suponiendo que lo anterior no proporciona cifrado: ¿Generar manualmente un certificado SSL proporciona cifrado mutuo?

Veo un par de preguntas en los certificados SSL, pero parece que ninguna responde a mi pregunta:

Avid La respuesta a la primera pregunta me sonó un poco complicada para quien no tiene antecedentes en certificados SSL.

    
pregunta Sairam 12.11.2010 - 05:46
fuente

4 respuestas

11

Los certificados no proporcionan cifrado. El cifrado proviene de SSL en sí. El certificado trata de convencer al cliente de que los datos que cifra correctamente se envían al servidor original y no a otra persona que se hace pasar por el servidor. Un certificado para un servidor SSL puede usar una clave que solo funciona con firmas digitales (por ejemplo, una clave DSA) y los datos seguirán encriptados.

El precio de un certificado, de una CA comercial, se rige por las siguientes tendencias:

  • Se supone que la CA realiza verificaciones más o menos exhaustivas de la identidad de quién compra el certificado. Ese es el único y único punto de la CA: vincular una "identidad física" con una clave pública. Tales verificaciones implican trabajo humano, y eso puede ser costoso.

  • La CA tiene seguros . Cuando compra el certificado, la CA se hace responsable de los problemas de seguridad que puedan surgir si la CA no sigue los procedimientos de verificación previstos, como se define en su "declaración de política de certificación". En pocas palabras, cuando compra un certificado más caro, tiene derecho a demandarlos por más dinero.

  • Commercial CA le cobrará lo máximo posible. Si una CA le vende un certificado de 600 $, esto significa que estimaron que perderían demasiadas ventas si el precio fuera de 650 $. El valor comercial de un certificado proviene del hecho de que la clave raíz de CA ya es conocida para el navegador del cliente SSL; para Windows / Internet Explorer, la lista predeterminada de CA conocidas es administrada por Microsoft, y no incluirán a ninguna CA. En consecuencia, el mercado de CA no está totalmente abierto y la competencia no logra bajar los precios. En este momento, los certificados SSL tienden a ser sobrevalorados. Por ejemplo, esto permitió a el fundador de Thawte Mark Shuttleworth comprar un viaje al espacio y luego crear y financiar el Distribución de Linux de Ubuntu , por lo que se puede suponer que las CA comerciales obtienen un gran beneficio de cada certificado vendido.

Puede crear sus propios certificados ( OpenSSL es una herramienta gratuita que puede hacer eso, por ejemplo; consulte EJBCA para algo con una interfaz más agradable); Los certificados hechos en casa suelen ser autofirmados (en un certificado, debe haber una firma de la CA emisora; el formato no permite omitir ese campo de firma; por lo tanto, es habitual que el certificado se "firme" en el caso de un stand (solo certificado sin CA). La consecuencia práctica de un certificado hecho en casa es que el navegador web mostrará algunas advertencias de miedo cuando las encuentre por primera vez (pero los usuarios son bastante buenos para ignorar las advertencias, lo que, por cierto, también es un problema, en general). / p>     

respondido por el Thomas Pornin 08.09.2011 - 14:19
fuente
6

Parece que estás un poco confundido sobre lo que SSL realmente hace. Las transacciones SSL siempre están cifradas, siempre. Ni siquiera existen sin cifrado. Lo que quieres saber es la autenticación, que es completamente diferente. [Actualización: es posible elegir un algoritmo que no encerra.]

En un escenario de compra normal, digamos Amazon.com, su conexión está cifrada de extremo a extremo. ¿Cómo sabes que son quienes dicen ser? Verisign firmó su certificado con su clave privada. Su navegador se envió con el certificado de Verisign, de modo que puede saber con certeza que el sitio web que está firmando por Verisign es el sitio de Amazon con el que está hablando. Solo saben que usted es quien dice ser porque conoce su contraseña. Entonces, los conoce a través de un certificado PKI, ellos lo conocen a través de una contraseña.

En ciertas circunstancias, tanto el cliente como el servidor pueden usar certificados PKI para identificarse. Esto se puede hacer con un archivo local, un dispositivo USB o un lector de tarjetas inteligentes. En ese caso, usted verifica la firma de los clientes y ellos verifican la suya.

Sugiero involucrarse con CAcert . Es una autoridad de certificación gratuita, apoyada por la comunidad. El único inconveniente (y puede ser uno grande) es que los principales navegadores aún no están enviando su certificado raíz. Usted es libre de usarlo, pero es posible que tenga que distribuirlo a su navegador por su cuenta. Es algo de lo que al menos aprender y pensar.

    
respondido por el pboin 12.11.2010 - 13:01
fuente
5

Por lo general, los certificados son bastante equivalentes: hay un estándar claro para los certificados criptográficos ( X.509 ), y aunque existen diferentes "modos" para los certificados, todos ellos suelen admitir cualquier tipo de cifrado que desee utilizar.
Mi respuesta ciertamente compleja (porque esto no es simple) se aplica principalmente a la configuración del servidor. P.ej. Las suites de cifrado se configuran en el servidor web (y el navegador).

El certificado es principalmente una clave pública (con una clave privada asociada), con campos adicionales y un "contenedor" que certifica que alguien verificó la identidad del titular del certificado.

(Tenga en cuenta que también hay algoritmos de cifrado especificados en el certificado, pero esto se aplica a la firma del certificado y similares)

Por favor, avísame si necesitas más información ...

    
respondido por el AviD 12.11.2010 - 09:53
fuente
4

RapidSSL proporcionará cifrado al igual que cualquier certificado SSL (es posible que una conexión servidor-cliente pueda terminar usando cifrados nulos en algunas circunstancias, pero eso no se debe al certificado)

Además, en algunos entornos, los certificados SSL autofirmados que son gratuitos son una opción perfectamente razonable.

La diferencia que está viendo en el costo de los certificados por lo general se reduce al nivel de verificación realizado por la autoridad de certificación y otras "características" proporcionadas por el certificado, como para qué se puede usar y si se trata de un certificado comodín.

Los certificados más económicos tienden a no implicar una gran cantidad de comprobación por parte de la CA de que realmente tiene derecho a un certificado para un dominio determinado, en algunos casos puede ser tan poco como recibir un correo electrónico a ciertos usuarios. direcciones de correo electrónico especificadas en un dominio determinado (por ejemplo, ssladmin @ dominio).

La teoría es que el certificado más costoso con más verificación es mejor porque los usuarios pueden confiar más en que es legítimo. Sin embargo, casi ningún usuario verifica al emisor del certificado, así que no estoy seguro de que sea una razón válida.

Lo principal que se debe observar en los certificados de servicios públicos es que el certificado raíz utilizado para firmar el suyo está incorporado en todos los principales navegadores. Si ese no es el caso, sus usuarios recibirán advertencias de certificados cuando se conecten a su sitio, lo que puede impedir que lo utilicen.

Hay una excepción a lo que es el uso de "EV-SSL", que es bastante popular entre los bancos y algunos sitios de comercio electrónico más grandes. un certificado EV proporcionará una notificación visual en el navegador de que está en uso, que está diseñado para que el usuario sienta que hay más confianza en esa conexión.

Para obtener un certificado EV, la entidad emisora de certificados debe realizar varias comprobaciones para asegurarse de que usted es el propietario adecuado del certificado, que es un elemento de por qué tienen un costo mayor.

    
respondido por el Rоry McCune 12.11.2010 - 10:05
fuente