it-swarm-es.com

¿Qué tipos de certificados SSL se pueden utilizar para el cifrado?

Sé que los certificados SSL de Verizon cuestan cerca de $ 600. Hay un par de alternativas económicas, pero nunca entendí realmente por qué Verizon no ofrece tales certificados. Busque RapidSSL en nameCheap . No dicen nada sobre el cifrado para el plan de $ 20.

Suponiendo que lo anterior no proporciona cifrado: ¿Generar manualmente un certificado SSL proporciona cifrado mutuo?

Veo un par de preguntas sobre los certificados SSL, pero parece que ninguna de ellas responde a mi pregunta:

La respuesta de Avid a la primera pregunta me sonó un poco complicada para quien no tiene experiencia en certificados SSL.

12
Sairam

Los certificados no proporcionan cifrado. El cifrado proviene del propio SSL. El certificado trata de convencer al cliente de que los datos que encripta debidamente se envían realmente al servidor previsto original, y no a otra persona que se haga pasar por el servidor. Un certificado para un servidor SSL puede usar una clave que funciona solo para firmas digitales (por ejemplo, una clave DSA) y los datos aún estarán encriptados.

El precio de un certificado, de una CA comercial, está impulsado por las siguientes tendencias:

  • Se supone que la CA debe realizar comprobaciones más o menos exhaustivas sobre la identidad de quién compra el certificado. Ese es el único objetivo de la CA: vincular una "identidad física" con una clave pública. Estas verificaciones implican trabajo humano y eso puede resultar caro.

  • La CA tiene seguros . Cuando compra el certificado, la CA se hace responsable de los problemas de seguridad que puedan surgir si la CA no sigue los procedimientos de verificación previstos, como se define en su "declaración de política de certificación". En pocas palabras, cuando compra un certificado más caro, tiene derecho a demandarlos por más dinero.

  • Commercial CA le cobrará tanto como sea posible. Si una CA le vende un certificado de 600 $, esto significa que estimaron que perderían demasiadas ventas si el precio fuera de 650 $. El valor comercial de un certificado proviene del hecho de que el navegador del cliente SSL ya conoce la clave raíz de la CA. para Windows/Internet Explorer, la lista predeterminada de CA conocidas es administrada por Microsoft y no incluirán cualquier CA. En consecuencia, el mercado de CA no está totalmente abierto y la competencia no logra bajar los precios. En este momento, los certificados SSL tienden a ser demasiado caros. Por ejemplo, esto permitió a el fundador de Thawte, Mark Shuttleworth comprar un viaje al espacio y luego crear y financiar la distribución de Ubuntu Linux - por lo que se puede suponer que las CA comerciales hacen bastante gran beneficio de cada certificado vendido.

Puede crear sus propios certificados ( OpenSSL es una herramienta gratuita que puede hacer eso, por ejemplo; consulte EJBCA para algo con un interfaz más agradable); Los certificados caseros suelen ser autofirmados (en un certificado, debe haber una firma de la CA emisora; el formato no permite omitir ese campo de firma; por lo que es habitual que el certificado "firme" en el caso de un stand -certificado sin CA solo). La consecuencia práctica de un certificado hecho en casa es que el navegador web mostrará algunas advertencias aterradoras cuando las encuentren por primera vez (pero los usuarios son bastante buenos para ignorar las advertencias, lo que, por cierto, también es un problema, en términos generales).

11
Thomas Pornin

Por lo general, los certificados son prácticamente equivalentes: existe un estándar claro para los certificados criptográficos ( X.509 ), y aunque existen diferentes "modos" para los certificados, todos ellos suelen admitir cualquier tipo de cifrado quiere usar.
Mi respuesta ciertamente compleja (porque esto no es simple), se aplica principalmente a la configuración del servidor. P.ej. los conjuntos de cifrado se configuran en el servidor web (y el navegador).

El certificado es principalmente una clave pública (con una clave privada asociada), con campos adicionales y un "contenedor" que certifica que alguien verificó la identidad del titular del certificado.

(Tenga en cuenta que también hay algoritmos de cifrado especificados en el certificado, pero esto se aplica a la firma del certificado y demás).

Por favor avíseme si necesita más información ...

5
AviD

RapidSSL proporcionará cifrado al igual que cualquier certificado SSL (es posible que una conexión servidor-cliente pueda terminar usando cifrados nulos en algunas circunstancias, pero eso no depende del certificado)

Además, en algunos entornos, los certificados SSL autofirmados que son gratuitos son una opción perfectamente razonable.

La diferencia que está viendo en el costo de los certificados generalmente se reduce al nivel de verificación que realiza la autoridad de certificación y otras "características" proporcionadas por el certificado, como para qué se puede usar y si es un certificado comodín.

Los certificados más baratos tienden a no implicar una gran cantidad de verificación por parte de la CA de que realmente tiene derecho a un certificado para un dominio determinado, con algunos puede ser tan pequeño como poder recibir un correo electrónico a ciertas direcciones de correo electrónico preestablecidas en un dominio dado (por ejemplo, ssladmin @ dominio).

La teoría es que el certificado más caro con más verificación es mejor porque los usuarios pueden tener más confianza en que es legítimo. Sin embargo, casi ningún usuario comprueba el emisor del certificado, por lo que no estoy seguro de que sea una razón válida.

Lo principal a tener en cuenta en los certificados de servicios públicos es que el certificado raíz que se usa para firmar el suyo está integrado en todos los navegadores principales. Si ese no es el caso, sus usuarios recibirán advertencias de certificado cuando se conecten a su sitio que pueden disuadirlos de usarlo.

Hay una excepción a eso que es el uso de "EV-SSL", que es bastante popular entre los bancos y algunos sitios de comercio electrónico más grandes. un certificado EV proporcionará una notificación visual en el navegador de que está en uso, que está diseñada para hacer que el usuario sienta que hay más confianza en esa conexión.

Para obtener un certificado EV, la CA emisora ​​debe realizar algunas comprobaciones para asegurarse de que usted es el propietario apropiado del certificado, que es un elemento de por qué tienen un costo más alto.

4
Rory McCune