是什么让一些SSL证书比其他证书“更好”?

时间:2014-02-07 00:50:10

标签: ssl ssl-certificate ca

据我所知,浏览器必须信任证书颁发机构(CA)才能使用SSL证书显示页面,而不要求站点访问者信任该证书。但我看到不同公司以不同的价格出售证书(some even free),但据我所知,它们不是那么“好”。如果浏览器支持SSL证书并对页面进行加密,那么是什么使得一个CA的证书比另一个CA的证书更好?

1 个答案:

答案 0 :(得分:2)

这些证书在各个方面有所不同:

  • 续航时间:最便宜的证书通常寿命较短,例如:大约一年后过期,需要重新创建。这对于让你购买更好的证书并不是一件令人讨厌的事情,但廉价的人通常不太关心安全性,因此这些证书有更高的机会受到损害(例如私钥被盗),而且应该有短暂的生命是时候限制攻击者可以造成的伤害了。如果证书的所有者注意并关心妥协,则证书需要被撤销并添加到CRL(证书撤销列表)中,这可能因此变得非常大 - 只需看看GoDaddy的巨大CRL。
  • 通配符和多个名称(主题替代名称):廉价证书仅限于单个主机,通配符或替代名称的成本更高。公司通常使用具有多个名称或通配符的证书来避免维护多个证书的麻烦,如果您提供具有多个名称的相同站点(例如,甚至example.com和www.example.com不同),通常也是必要的。
  • 实际完成了多少验证:想法是,某些CA对证书所有者进行了更好的验证。这使得证书更加昂贵(有人必须为验证付费)但它也使它更值得信赖。当然,这只有在CA确实检查所有者时才有意义。最着名的例子是“扩展验证证书”,它在浏览器中显示为更受信任。

除此之外,您的浏览器还信任来自不同国家/地区的100多种不同的CA.在当前的PKI(公钥基础设施)中,没有办法限制每个CA的影响,例如,中国CA可以为google.com颁发证书,或者美国CA可以为google.cn颁发证书。也没有万无一失的碰撞管理,例如:同一域的证书可以由多个CA同时发出,浏览器也会接受它。

此外,这些受信任的根CA中的每一个都可以发布任何数量的中间CA,其本身可以发布其他中间CA等。这些中间CA中的每一个都具有发布他们想要的任何证书的所有能力,例如,最近,法国CA FGC / A的子亚子CA为google.com和其他人颁发了“非法”证书,请参阅http://arstechnica.com/security/2013/12/french-agency-caught-minting-ssl-certificates-impersonating-google/。 并且,CA没有发布所有证书的公开列表,因此您可以确定其中一些证书将中间CA出售给执法部门以及其他用途(另请参阅http://blog.spiderlabs.com/2012/02/clarifying-the-trustwave-ca-policy-update.html)。

当然,CA也会受到攻击,比如2011年的DigiNotar和Comodo,其中gmail,microsoft live等证书在发布和积极用于攻击时发布。当DigiNotar关闭时,Comodo可能太大而不能倒闭。

总结:使用当前的PKI系统,您可以信任证书,就像您信任所有主要政府和公司的组合一样 - 无论这种信任是什么:(

相关问题
最新问题