Уровни безопасности бесплатных и платных SSL-сертификатов
Имеют ли бесплатные или платные сертификаты SSL какое-либо отношение к их уровням безопасности от службы тестирования, такой как SSL Server Test от SSL Labs , или все зависит от конфигурации безопасности сервера?
Нет. Нет абсолютно никакой разницы между бесплатным и платным сертификатом с точки зрения безопасности или криптографии. И большая часть степени безопасности на самом деле больше зависит от конфигурации веб-сервера (разрешенных наборов шифров и т.п.), чем от характеристик сертификата.
Выпуск тех платных SSL-сертификатов, которые поддерживают так называемую «расширенную проверку» («EV») (которая в некоторых браузерах отображается как «зеленая реклама в адресной строке») действительно включает выполнение - в некоторой разумной степени - проверка того факта, что предполагаемый владелец сертификата действительно является коммерческой организацией, заявляющей о присвоении канонического имени выдаваемому сертификату.
Такая проверка обычно требует, чтобы коммерческое лицо было зарегистрировано в специальный (полу) официальный реестр, похожий на «желтую страницу», и возможность связаться с несколькими руководящими лицами этой организации по номерам стационарных телефонов.
Тем не менее, стоит подчеркнуть, что это все о ] социальные вещи.
Что касается «математики» безопасности сертификатов X.509, сертификаты EV абсолютно не отличаются от любых других сертификатов (даже самозаверяющих, созданных, скажем, с помощью определенных инструментов openssl ]).
С другой стороны, есть еще одна социальная проблема: если сертификат должен использоваться не только для обеспечения шифрования, но и для «представления» службы конечным пользователям - с общедоступными веб-серверами предположительно лучший пример - тогда может быть важна организация, выдавшая сертификат. Причина в том, что пользователи используют интернет-браузеры для перехода на веб-сайты, и эти браузеры либо поддерживают свои собственные списки доверенных корневых центров (и набор уровней 2, а может быть 3, то есть подчиненных) центров сертификации, и / или получают доступ к системный список таких центров сертификации. Следовательно, если вы сгенерируете свой собственный сертификат и прикрепите его к своему веб-серверу, независимо от того, насколько «хорош» математически ваш сертификат, браузер пользователя закроет его с большим красным предупреждением о небезопасном соединении: просто потому, что список "известных" центров сертификации, который он видит, не включает центр сертификации, выдавший ваш сертификат.
TL; DR
- Платные сертификаты хороши только в том случае, если они относятся к типу EV.
- Они только лучше чем другие, поскольку затрагиваются социальные аспекты использования сертификатов.
О, и пока мы занимаемся этим, обратите внимание, что иногда поставщики платных сертификатов делают ужасные ошибки, и это приводит к сертификатам их центров сертификации исключается из списков доверенных популярных браузеров.