¿Importa realmente la solidez del cifrado SSL o el nivel de validación de un sitio web?

8

Cuando se busca obtener un certificado SSL, se presenta una gran cantidad de opciones. Por ejemplo, tomemos Soluciones de red ya que tienen un buen cuadro de comparación.

Inmediatamente parece haber 4 opciones principales: certificados baratos, certificados de clase de negocios (que tienen las mismas características que los certificados baratos pero con soporte y un concesionario más grande), certificados de comodines y certificados de validación extendida.

¿Realmente importa al final qué certificado obtienes? ¿Cuántas personas, además de la seguridad paranoica, comprueban la solidez del cifrado y el nivel de verificación de cada sitio HTTPS antes de continuar?

¿Por qué los sitios optarían por la Validación extendida cuando un certificado barato o un certificado de negocios funcionará bien? La validación extendida en este caso es 4 veces más cara que los certificados comerciales, y 30 veces más cara que un certificado barato. ¿Es puramente para el soporte técnico y los beneficiarios más grandes o hay otra razón?

    
pregunta TheLQ 30.08.2011 - 18:16
fuente

3 respuestas

6

La parte importante en la página que señala es la "garantía": cuánto dinero pone en juego NetworkSolutions. Todas las opciones se reducen, más o menos directamente, a eso.

Hablando criptográficamente, la "fuerza de encriptación" dependerá del tipo y tamaño de su clave pública (la que ingresará en el certificado) y las suites de cifrado que configure en su servidor SSL; Esto es principalmente ortogonal a la "categoría" del certificado. NetworkSolutions podría imponer algunos requisitos en la clave pública (por ejemplo, requerir una clave RSA de 2048 bits para los tipos de certificados más caros); pero la configuración del servidor SSL está completamente fuera de su alcance.

    
respondido por el Thomas Pornin 30.08.2011 - 18:45
fuente
5

Prácticamente ningún usuario final verifica al emisor, e incluso si lo hicieran, muy pocas personas podrían tomar una decisión informada sobre la calidad relativa de las CA.

Mi experiencia y opinión es que los EV-SSL son de bajo valor. Dependiendo de un usuario para reconocer la diferencia entre una barra azul y una barra verde es una tarea difícil. Y, en cualquier caso, si un malvado obtuviera un certificado deshonesto, a sus usuarios no les importará si el certificado real es EV. Estoy seguro de que hay otros con la opinión opuesta aquí, pero tome esto para lo que vale.

    
respondido por el Steve Dispensa 30.08.2011 - 19:27
fuente
-1
  

¿Cuántas personas, además de la gente de seguridad paranoica, comprueban el cifrado?   fuerza

Solo las personas mal informadas verificarían la fortaleza del cifrado.

¡Nadie ataca el cifrado SSL / TLS! Los cyphers son lo suficientemente fuertes, excepto por supuesto la mierda castrada de "exportación de EE. UU." De 40 bits.

Por ejemplo: en el caso del problema de Renegociación de Seguridad de la capa de transporte (TLS) descrito en enlace : la vulnerabilidad era Dentro de una característica del protocolo que no se usa con mucha frecuencia, no es un problema con el cripto en sí.

Los números de bits grandes SOLO están ahí para impresionar a las personas que NO comprenden la seguridad informática. No hace absolutamente ninguna diferencia en la práctica.

EV resuelve un problema que NO existe, y no hace nada para resolver los MUCHOS problemas que existen con este SSL PKI: EV es un truco de relaciones públicas. Si se tomara en serio el EV para la seguridad de WWW, tendríamos un nuevo esquema de URL "httpsEV:".

Los usuarios informados que se preocupan por los ataques contra la capa SSL NO se preocupan por el EV.

A los usuarios "paranoicos" informados les preocupa los cambios inesperados en los certificados, especialmente si cambia CA. Informe a los usuarios con antelación si cambia CA.

Los usuarios "paranoicos" informados SÍ se preocupan de que CA haya hecho cosas malas en el pasado, así que espere que algunos usuarios lo rechacen o al menos le pregunten acerca de los certificados COMODO.

    
respondido por el corrector 21.09.2011 - 00:27
fuente

Lea otras preguntas en las etiquetas