it-swarm-es.com

¿Importa de qué autoridad de certificación obtengo mi certificado SSL?

Para asegurar mi sitio web con HTTPS, ¿importa de qué compañía obtengo mi certificado SSL o simplemente que el navegador lo reconozca?


Desde el Area51 propuesta .

34
AviD

Sí, es totalmente importante. Solo puede confiar en las transacciones tanto como confía en la autoridad de certificación. Por ejemplo, si tiene un certificado firmado por DoD, es bastante confiable. Si tiene un certificado firmado por Chungwa Telecom, tal vez no tanto. Eche un vistazo a los certificados de CA predeterminados de su navegador en algún momento y piense en cuánto confía en esas partes.

Recomiendo echar un vistazo a este documento para obtener una explicación completa de cómo las CA maliciosas realmente pueden causar estragos en la confianza percibida: Mentiras certificadas: Detectar y derrotar ataques de interceptación del gobierno contra SSL

6
pboin

Supongo que realmente depende de la naturaleza de tus usuarios.

El 99.9% de los usuarios simplemente verán que el navegador no les da ningún error cuando visitan su sitio (suponiendo que compró el certificado de una compañía que tiene su certificado CA en la tienda de certificados de su navegador).

Sin embargo, esto apunta a un problema mayor con la infraestructura PKI implementada actualmente:

Cualquier CA conocida puede crear un certificado para cualquier otro sitio, y los navegadores aceptarán ese certificado, incluso si el propietario legítimo del sitio ya tiene un certificado de otra CA.

Si bien esto es bueno en algunos aspectos, ya que un operador del sitio puede cambiar a los proveedores de CA si así lo desea, también significa que se puede usar una CA comprometida para generar certificados para sitios arbitrarios. Este problema se planteó cuando el certificado de CA de CNNIC se agregó a las listas de CA de Mozilla (y otros).

Parece haber una desconfianza innata hacia China (posiblemente relacionada con "el gran firewall"), pero en realidad, esto significa que cualquier usuario en China, cuando intente usar una conexión encriptada a un sitio "subversivo", debería verificar que el certificado presentado NO fue firmado por el certificado CNNIC CA.

Existe una práctica extensión de Firefox (Certificate Patrol) que monitorea los certificados presentados por varios sitios y le advierte si el certificado cambia por algún motivo.

10
Rogan Dawes

en realidad, donde obtienes el certificado es muy importante. Recuerde que cualquiera puede crear un certificado y firmar, incluidos los piratas informáticos. entonces cada navegador tiene una lista de compañías verificadas para compactar certificados de falsificación. por lo tanto, debe obtener su certificado de una compañía reconocida internacionalmente como verisign, etc.

4
Mohamed

Desde una perspectiva, no importa mucho siempre y cuando los certificados raíz de la CA estén cargados en todos los principales navegadores. Si tiene un certificado SSL de una CA en la que confían esos navegadores, a casi todos sus usuarios no les importará quién emitió el certificado.

Por ejemplo, suponga que está creando una aplicación interna y todos sus usuarios son empleados de la empresa. Su empresa tiene una CA interna únicamente. Su departamento de TI instala el certificado de CA de su empresa en todos los sistemas de los empleados. Por lo tanto, cada vez que esos empleados visiten su aplicación, verán el candado y sabrán que es seguro.

Del mismo modo, para un sitio web que solo está utilizando. Podrías autofirmarte y estaría bien.

Desde otra perspectiva, absolutamente importa a quién elijas . Definitivamente desea una CA que tenga procedimientos de seguridad rigurosos, por un par de razones:

  1. No desea que emitan (por error o maliciosamente) un certificado a otra persona que dice ser usted. Entonces este tercero puede hacerse pasar por usted en la web y usted y sus usuarios están jodidos.
  2. Si se sabe que tienen una seguridad laxa, entonces todos los principales navegadores emitirán actualizaciones de seguridad que eliminen su certificado raíz de CA del navegador. (Consulte DigiNotar como un ejemplo reciente (septiembre de 2011).) En este caso, tendrá que encontrar rápidamente una nueva CA e instalar nuevos certificados SSL en sus servidores porque los navegadores ya no confiarán en su antiguo SSL certs.
4
bstpierre

Mientras el navegador lo reconozca. El navegador tiene una lista de CA en las que confía que maneja las grandes. Hay otros más pequeños en los que confían las CA más grandes que son más baratos. El único truco para ellos es que normalmente tiene que instalar certificados adicionales en el servidor web llamados certificados encadenados o certificados intermedios para que su navegador pueda seguir la cadena de confianza de su CA a una que conozca. Todo esto es transparente para el usuario final.

2
chs

Es importante: si elige una CA tan incompetente/deshonesta que la echan de la tienda de certificados raíz, es mejor que se ponga en contacto con otra CA rápidamente.

NO importa: cualquier certificado aceptado por los navegadores funcionará igual de bien.

ES IMPORTANTE: los usuarios "paranoicos" informados SE PREOCUPAN por CA que ha hecho cosas malas en el pasado, así que espere que algunos usuarios lo rechacen o al menos le pregunten sobre los certificados COMODO.

De todos modos, ¡toda la PKI SSL es inútil!

edición mod en respuesta a la bandera 'ofensiva'

1
corrector