it-swarm-id.com

Apakah semua Sertifikat SSL sama?

Setelah menjalankan beberapa pengujian dari alat Lab SSL Qualsys , saya melihat bahwa ada perbedaan peringkat yang cukup signifikan antara sertifikat GoDaddy dan VeriSign yang telah saya uji.

Apakah semua sertifikat SSL dari penyedia berbeda sama? Jika tidak, apa yang harus menjadi dasar keputusan mereka? Saat ini saya percaya bahwa kebanyakan orang akan mempertimbangkan biaya vs merek (yaitu: GoDaddy ~ $ 70,00 vs Verisign ~ $ 1.500,00).

Saya memiliki perasaan dari apa yang saya lihat bahwa banyak dari ini juga tergantung pada bagaimana SSL sebenarnya diterapkan - apakah ini akan menjadi kesimpulan yang lebih akurat?

Untuk kejelasan:

87
Kyle Rozendo

Penafian: Jawaban ini datang langsung dari artikel eHow . Pelanggaran tidak dimaksudkan.

Validasi Domain Sertifikat SSL

Sertifikat SSL yang divalidasi domain digunakan untuk membangun tingkat kepercayaan awal dengan sebuah situs web dan membuktikan bahwa Anda mengunjungi situs web yang Anda pikir Anda kunjungi. Sertifikat ini dikeluarkan setelah penerbit SSL mengonfirmasi bahwa domain tersebut valid dan dimiliki oleh orang yang meminta sertifikat. Tidak perlu mengirimkan dokumen perusahaan untuk mendapatkan sertifikat SSL Validasi Domain, dan sertifikat SSL jenis ini dapat dikeluarkan dengan sangat cepat. Kerugian dari jenis-jenis sertifikat ini adalah siapa pun bisa mendapatkannya, dan mereka tidak memiliki bobot yang nyata kecuali untuk mengamankan komunikasi antara browser web Anda dan server web.

Validasi Organisasi Sertifikat SSL

Sertifikat SSL Validasi Organisasi dikeluarkan untuk perusahaan dan memberikan tingkat keamanan yang lebih tinggi atas sertifikat SSL Validasi Domain. Sertifikat Validasi Organisasi mensyaratkan beberapa informasi perusahaan diverifikasi bersama dengan informasi domain dan pemilik. Keuntungan dari sertifikat ini dibandingkan sertifikat Validasi Domain adalah bahwa ia tidak hanya mengenkripsi data, tetapi juga memberikan tingkat kepercayaan tertentu tentang perusahaan yang memiliki situs web tersebut.

Validasi Diperpanjang Sertifikat SSL

Sertifikat SSL Validasi Diperpanjang adalah sertifikat SSL "top of the line". Untuk mendapatkannya, perusahaan harus melalui proses pemeriksaan berat, dan semua perincian perusahaan harus diverifikasi sebagai otentik dan sah sebelum sertifikat diterbitkan. Meskipun sertifikat ini mungkin mirip dengan sertifikat SSL Validasi Organisasi, perbedaan utamanya adalah tingkat pemeriksaan dan verifikasi yang dilakukan pada pemilik domain dan perusahaan yang mengajukan sertifikat. Hanya perusahaan yang lolos penyelidikan menyeluruh yang dapat menggunakan sertifikat SSL Validasi Diperpanjang. Jenis sertifikat ini dikenali oleh peramban modern dan ditandai dengan bilah berwarna di bagian URL peramban.

Selain itu, OV versus EV juga memiliki dampak dalam hal jumlah asuransi jika terjadi kompromi. Premi asuransi untuk EV terletak jauh lebih tinggi daripada dengan OV.

Baca selengkapnya/asli: Mickey Walburg, Perbedaan dalam Sertifikat SSL | eHow.com

62
Lucas Kauffman

Pada akhirnya adalah tanggung jawab pengguna klien untuk memeriksa validitas sertifikat. Sebagai penyedia layanan, selain mendidik pengguna jika Anda bisa, tidak banyak yang dapat Anda lakukan di sisi Anda: Anda tidak mengontrol sertifikat mana yang dipercaya oleh peramban pengguna dan Anda tidak bisa tahu apakah pengguna telah memverifikasi mereka. menggunakan SSL/TLS dengan benar dan tidak mengabaikan peringatan potensial.

Yang perlu Anda coba menilai adalah bagaimana pengguna Anda akan bereaksi dan memeriksa sertifikat Anda. Saya berasumsi audiens target untuk situs web Anda belum tentu ahli teknis atau PKI. Bagaimana reaksi pengguna Anda akan tergantung pada apa yang telah mereka pelajari tentang sertifikat. Sayangnya, ada banyak informasi yang bertentangan atau tidak jelas tentang topik ini di luar sana, bahkan berasal dari CA sendiri (ingat bahwa CA memiliki kepentingan untuk membuat pelanggan mereka ingin membeli sertifikat yang lebih mahal).

Mode validasi

Tujuan umum dari sertifikat (kunci publik) adalah untuk mengikat identitas ke kunci publik (oleh karena itu mengikat identitas ke server menggunakan kunci pribadi yang sesuai dalam handhsake SSL/TLS).

Lucas Kauffman telah menulis jawaban yang merinci perbedaan antara sertifikat yang divalidasi domain, sertifikat yang divalidasi organisasi dan sertifikat perpanjangan-validasi. Pertanyaan sebenarnya yang perlu Anda tanyakan pada diri sendiri adalah apa yang Anda coba buktikan kepada pengguna.

Perbedaan antara jenis-jenis sertifikat ini adalah bagaimana identitas itu sendiri didefinisikan.

Sertifikat yang divalidasi domain menjamin Anda bahwa sertifikat itu dikeluarkan untuk pemilik domain itu. Tidak lebih, tetapi tidak kurang (saya mengasumsikan prosedur validasi sudah benar di sini). Dalam banyak kasus, ini sudah cukup. Itu semua tergantung pada apakah situs web yang Anda promosikan harus ditautkan ke lembaga yang sudah dikenal secara off-line. Sertifikat yang divalidasi terhadap suatu organisasi (sertifikat OV dan EV) terutama berguna ketika Anda harus mengikat domain ke organisasi fisik juga.

Misalnya, berguna bagi lembaga yang awalnya dikenal melalui bangunannya (mis. Bank of America) untuk dapat mengatakan bahwa sertifikat untuk bankofamerica.com memang untuk tempat Anda memberikan uang fisik Anda. Dalam hal ini, masuk akal untuk menggunakan sertifikat OV atau EV. Ini juga dapat bermanfaat jika ada ambiguitas mengenai lembaga mana yang berada di belakang nama domain (mis. Apple.com dan Apple.co.uk), yang lebih penting adalah nama domain yang sama dimiliki oleh saingan/penyerang menggunakan kesamaan nama untuk tujuan yang buruk.

Sebaliknya, www.google.com adalah yang mendefinisikan Google untuk umum; Google tidak perlu membuktikan bahwa google.com milik Google asli. Akibatnya, ia menggunakan sertifikat yang divalidasi domain (sama dengan Amazon.com).

Sekali lagi, ini sangat berguna jika pengguna tahu cara memeriksa ini. Peramban tidak terlalu membantu di sini. Firefox hanya mengatakan "yang dijalankan oleh (tidak dikenal)" jika Anda ingin lebih detail tentang sertifikat di www.google.com, tanpa benar-benar mengatakan apa yang dimaksud dengan ini.

Sertifikat validasi yang diperluas adalah upaya untuk meningkatkan ini, dengan membuat prosedur validasi organisasi menjadi lebih ketat, dan dengan membuat hasilnya lebih terlihat: bilah hijau dan organisasi yang lebih terlihat.

Sayangnya, ini kadang-kadang digunakan dengan cara yang meningkatkan kebingungan, saya pikir. Berikut adalah contoh yang dapat Anda periksa sendiri: salah satu bank besar Inggris (NatWest) menggunakan https://www.nwolb.com/ untuk layanan perbankan on-line-nya. Jauh dari jelas bahwa nama domain milik NatWest (yang juga memiliki lebih logis natwest.co.uk nama, omong-omong). Lebih buruk lagi, validasi diperpanjang (jika Anda memeriksa nama di sebelah bilah hijau) dilakukan terhadap "Royal Bank of Scotland Group plc":

EV certificate look

Bagi mereka yang mengikuti berita keuangan, masuk akal karena RBS dan NatWest termasuk dalam kelompok yang sama, tetapi secara teknis, RBS dan NatWest adalah pesaing (dan keduanya memiliki cabang di jalan raya di Inggris - meskipun itu akan berubah). Jika pengguna Anda tidak memiliki pengetahuan ekstra tentang kelompok mana yang berdagang dengan nama mana, fakta bahwa sertifikat dikeluarkan atas nama pesaing potensial harus membunyikan bel alarm. Jika, sebagai pengguna, Anda melihat sertifikat pada gooooogle.com dikeluarkan untuk Microsoft atau Yahoo, betapapun hijaunya bar, Anda tidak boleh menganggap ini sebagai situs Google.

Satu hal yang perlu diingat dengan sertifikat EV adalah bahwa konfigurasinya dikodekan ke dalam browser. Ini adalah pengaturan tipe kompilasi, yang tidak dapat dikonfigurasi nanti (tidak seperti toko sertifikat tepercaya yang normal, di mana Anda dapat menambahkan sertifikat CA kelembagaan Anda sendiri, misalnya). Dari sudut pandang yang lebih sinis, beberapa dapat menganggap ini sebagai cara yang nyaman bagi pemain utama untuk mempertahankan posisi yang kuat di pasar.

Stempel

Beberapa CA juga menawarkan berbagai "segel" yang bisa Anda pasang di situs web Anda, biasanya dengan warna berbeda tergantung pada jenis sertifikat yang Anda beli. Mereka tampaknya dimaksudkan sebagai langkah ekstra untuk mencegah CA yang kurang bereputasi menerbitkan sertifikat yang valid kepada pihak yang salah.

Sejauh yang saya ketahui, ini sama sekali tidak berguna dari sudut pandang keamanan. Memang, ketika Anda mengkliknya untuk memverifikasi sertifikat Anda (misalnya, jika Anda mengklik GoDaddy logo "diverifikasi keamanannya", Anda berakhir pada halaman ini ), tidak ada yang memberi tahu Anda bahwa sertifikat yang Anda lihat adalah sama dengan yang dikirim ke layanan di belakang seal.godaddy.com. Memang, jika ada penyerang MITM antara Anda dan example.com, dengan sertifikat lain yang valid untuk example.com dikeluarkan oleh CA yang ceroboh, bahwa penyerang MITM tidak akan berada di antara example.com dan seal.godaddy.com. Kecuali jika pengguna benar-benar melihat sertifikat secara terperinci, segel tidak akan banyak membantu (mengingat penyerang hanya dapat menghapus tautan segel atau mengarahkannya ke yang dari CA lain).

Asuransi

Beberapa sertifikat juga dilengkapi dengan semacam asuransi. Anda akan mendapatkan semacam kompensasi jika terjadi kesalahan selama transaksi hingga jumlah terbatas. Tidak jelas bagi saya bagaimana kondisi untuk mengklaim asuransi semacam itu.

Yang mana yang harus dipilih?

Pada akhirnya, sebagian besar pengguna menyimpan daftar default sertifikat CA tepercaya yang dibundel dengan OS atau browser mereka. Karena antarmuka pengguna tidak membedakan CA dengan sangat jelas, keamanan keseluruhan seperti yang terlihat oleh pengguna (yang bertanggung jawab untuk memeriksa sertifikat) akan didorong oleh penyebut umum terendah di setiap kategori (bilah biru dan hijau).

Jika penting untuk mengikat nama domain ke organisasi "bata dan mortir", ada baiknya mempertimbangkan sertifikat EV. Saya pribadi tidak berpikir bahwa cara UI membedakan sertifikat DV dan OV cukup baik untuk membuat menampilkan nama organisasi dengan bilah biru bermanfaat.

Jika Anda terutama dikenal oleh domain Anda (atau jika tidak ada ambiguitas sama sekali bahwa domain itu milik Anda, dari sudut pandang pengguna), cari sertifikat bar biru. (Periksa detail asuransi jika itu relevan dengan situs web Anda.)

45
Bruno

Poin penting adalah bahwa (hanya) tujuan sertifikat SSL adalah untuk memverifikasi identitas server yang Anda ajak berkomunikasi.

Segala sesuatu tentang enkripsi dan keamanan koneksi dinegosiasikan antara browser dan server terlepas dari sertifikat. Selama kunci yang disematkan dalam sertifikat cukup besar dan tidak terganggu, koneksi Anda sama amannya dengan sertifikat gratis seperti dengan sertifikat $ 2000.

Harga sertifikat mencerminkan (atau setidaknya harus mencerminkan) jumlah pemeriksaan yang dilakukan perusahaan penerbit untuk memverifikasi bahwa Anda harus diizinkan memiliki sertifikat itu.

[~ # ~] sunting [~ # ~]

Sertifikat adalah tentang kepercayaan, bukan keamanan. Ini perbedaan yang halus, tetapi yang penting. Saya sepenuhnya aman dengan sertifikat yang ditandatangani sendiri selama saya dapat memverifikasi kuncinya. Dalam hal itu, sertifikat EV sama sekali tidak menawarkan perlindungan bagi saya bahkan sampai tingkat paling rendah. Tapi bagaimana dengan orang lain? Saya tahu sebelumnya kunci mana yang bisa dipercaya, tetapi mereka tidak. Itulah peran seorang CA.

Semua CA yang dipercayai publik mengharuskan Anda memverifikasi kepemilikan domain Anda sebelum menerbitkan sertifikat, jadi dalam hal itu sertifikat Verisign $ 2000 sama dengan sertifikat Startcom gratis. Tapi itu baru setengah dari cerita.

Ingat kasus aneh dari Credit Union Mountain America? Penyerang dapat menyamar sebagai bank dan mendapatkan sertifikat SSL dari Equifax, cap resmi dari perusahaan penerbit, indikator ChoicePoint memverifikasi lokasi (dan diduga legitimasi) perusahaan - semuanya benar-benar bersih, sah, dan dikeluarkan dengan benar. Rahasia mereka? Bank menggunakan nama domain macu.com, sementara para penyerang ini menggunakan nama mountain-america.net. Ketika mereka mengajukan permohonan sertifikat, mereka TIDAK mengatakan bahwa mereka adalah bank (yang akan menaikkan bendera merah), tetapi malah memasang situs yang sama sekali tidak berdosa. Itu bisa untuk sesuatu seperti sepatu hiking atau air botolan atau blog tentang tinggal di pegunungan. Siapa tahu. Tetapi mereka mengubahnya untuk menduplikasi situs Credit Union setelah kredensial dikeluarkan.

Secara teoritis, ini adalah jenis serangan yang seharusnya dijaga oleh sertifikasi EV. Seharusnya jauh lebih sulit untuk mendapatkan sertifikat EV menggunakan identitas palsu atau berdasarkan pada perusahaan yang tidak ada. Mungkin bukan tidak mungkin, tetapi secara teoritis lebih sulit. Jadi kiranya jika ternyata itu adalah penipuan, setidaknya Anda memiliki alamat pelaku .. atau begitulah yang Anda harapkan.

Masalahnya adalah, ketika Anda menjual kepercayaan dalam skala besar, sulit untuk menjaga produk Anda tetap bersih. Pelanggaran seperti kegagalan Mountain America terjadi, bahkan dengan semua pemeriksaan dan pemeriksaan yang dapat Anda lakukan, karena begitu sertifikat dikeluarkan, pengguna dapat mengubah kisahnya.

Mungkin fitur keamanan paling penting dari sertifikat $ 2000 adalah harganya sendiri. Dikatakan, "orang ini membayar $ 2000 untuk sertifikat ini". Mungkin seseorang yang berniat menggunakannya untuk kejahatan akan memilih alternatif yang lebih murah. Agak konyol, tapi mungkin juga benar.

21
tylerl

Terutama Ada 3 jenis Sertifikat SSL:

(1) Validasi Domain Sertifikat SSL

  • Ini memiliki prosedur validasi yang kurang ketat.
  • Hanya nama pemohon dan informasi kontak yang diperiksa dan diverifikasi dengan data yang dimasukkan selama pendaftaran.
  • Faktor yang sah tidak dicentang, dan karenanya, ini sangat baik untuk situs online atau bisnis yang tidak mentransfer atau menangani data yang sangat sensitif.
  • Itu terkait langsung dengan nama domain, sehingga menjamin pengguna tentang keaslian situs web; Namun, itu tidak mendorong peringatan browser.

(2) Diperpanjang Validasi Sertifikat SSL

  • Diluncurkan pada 2007, ini adalah salah satu protokol pertama yang secara ketat mengikuti pedoman industri.
  • Aplikasi sertifikasi dan proses validasi sangat ketat.
  • Setiap kredensial bisnis diverifikasi dengan cermat dan teliti.
  • Untuk situs yang menggunakan protokol ini, cara untuk memastikan apakah situs dilindungi atau tidak adalah dengan memeriksa jendela navigasi browser. Itu berubah hijau jika situs tersebut aman, dan berubah menjadi merah pada awal bahaya.
  • Ini membantu mempertahankan standar jaminan tinggi, dan memverifikasi keaslian bisnis.

(3) Sertifikat SSL Validasi Organisasi

  • Keabsahan bisnis pelamar diperiksa.
  • Ini mengikuti prosedur validasi yang ketat, dan memverifikasi hampir semua informasi bisnis.
  • Ini adalah pilihan yang sangat baik untuk bisnis online yang berurusan dengan informasi yang sangat rahasia.

(Sumber: Buzzle )

3
CheapestSSLs

Ada dua sisi dari perdebatan ini.

Pertama adalah seberapa jauh CA akan memastikan Anda sebenarnya yang Anda klaim.

Kedua adalah berapa banyak fitur yang lebih canggih yang didukung CA.

Keduanya penting ... CA yang akan memberi Anda sertifikat dengan semua fitur terbaru tetapi tidak akan memeriksa id Anda tidak berguna seperti orang yang akan memeriksa Anda dengan baik tetapi hanya mengeluarkan sertifikat dengan fitur yang usang 5 tahun yang lalu.

0
Mr. C