È importante quale autorità di certificazione I invia il mio certificato SSL?

Sì, è assolutamente importante. Puoi fidarti delle transazioni tanto quanto ti fidi dell'autorità di certificazione. Ad esempio, se si dispone di un certificato firmato da DoD, questo è abbastanza affidabile. Se hai un certificato firmato da Chungwa Telecom, allora forse non così tanto. Dai un'occhiata ai certificati CA predefiniti dei tuoi browser qualche volta e pensa a quanto ti fidi di queste parti.

Raccomando di dare un'occhiata a questo documento per una spiegazione completa di come le CA dannose possono davvero devastare la fiducia percepita: Certified Bugie: scoprire e sconfiggere il governo Attacchi di intercettazione contro SSL

Penso che dipenda davvero dalla natura dei tuoi utenti.

Il 99,9% degli utenti vedrà semplicemente che il browser non fornisce loro errori quando visitano il tuo sito (supponendo che tu abbia acquistato il certificato da un'azienda che ha il certificato CA nell'archivio cert del tuo browser).

Questo indica tuttavia un problema più grande con l'infrastruttura PKI attualmente distribuita:

Qualsiasi CA nota può creare un certificato per qualsiasi altro sito e i browser accetteranno tale certificato, anche se il legittimo proprietario del sito ha già un certificato di un'altra CA.

Sebbene ciò sia positivo in un certo senso, in quanto un operatore del sito può cambiare i fornitori di CA se sceglie, significa anche che una CA compromessa può essere utilizzata per generare certificati per siti arbitrari. Questo problema è stato sollevato quando il certificato CA di CNNIC è stato aggiunto agli elenchi CA di Mozilla (e di altri).

Sembra esserci un'innata sfiducia nei confronti della Cina (probabilmente legata al "grande firewall"), ma in realtà ciò significa che qualsiasi utente in Cina, quando tenta di utilizzare una connessione crittografata a un sito "sovversivo", dovrebbe verificare che il certificato presentato NON sia stato firmato dal certificato CA CNNIC.

C'è un'utile estensione per Firefox (Certificate Patrol) che monitora i certificati presentati da vari siti e ti avvisa se il certificato cambia per qualsiasi motivo.

in realtà, dove ottieni un certificato conta molto. Ricorda che chiunque può creare un certificato e firmare inclusi gli hacker. quindi ogni browser ha un elenco di aziende verificate per compattare i certificati di forgiatura. quindi dovresti ottenere il tuo certificato da società riconosciute a livello internazionale come verisign ed ecc.

Da un punto di vista, non importa molto se i certificati radice della CA vengono caricati in tutti i principali browser. Se possiedi un certificato SSL da una CA che è considerata affidabile da quei browser, a quasi tutti gli utenti non interessa chi ha rilasciato il certificato.

Ad esempio, supponi di creare un'app interna e tutti i tuoi utenti siano dipendenti dell'azienda. La tua azienda esegue una CA solo per l'interno. Il tuo reparto IT installa il certificato CA della tua azienda su tutti i sistemi dei dipendenti. Pertanto, quando questi dipendenti visitano la tua app, vedranno il lucchetto e sapranno che è sicuro.

Allo stesso modo per un sito web che stai usando solo te stesso. Potresti autofirmarti e sarebbe ok.

Da un'altra prospettiva, è assolutamente importante per chi scegli . Sicuramente vuoi una CA con rigorose procedure di sicurezza, per un paio di motivi:

1. Non vuoi che (erroneamente o maliziosamente) emettano un certificato a qualcun altro che afferma di essere te stesso. Quindi questa terza parte può impersonare te sul Web e tu e i tuoi utenti siete fregati.
2. Se si sa che la sicurezza è lassista, tutti i principali browser invieranno aggiornamenti di sicurezza che rimuovono il loro certificato di root CA dal browser. (Vedere DigiNotar come esempio recente (settembre 2011). In questo caso, sarà necessario trovare rapidamente una nuova CA e installa nuovi certificati SSL sui tuoi server perché i browser non si fideranno più dei tuoi vecchi certificati SSL.

Finché il browser lo riconosce. Il browser ha una lista di CA che si fida che gestisce quelli grandi. Ci sono quelli più piccoli che sono considerati più economici dai più grandi CA. L'unico trucco è che in genere è necessario installare certificati extra sul server Web denominati certificati concatenati o certificati intermedi in modo che il browser possa seguire la catena di attendibilità dalla CA a quella che conosce. Questo è tutto trasparente per l'utente finale.

È importante: se scegli una CA così incompetente / disonesta da essere cacciata da root cert store, allora è meglio mettersi in contatto con un'altra CA rapidamente .

Non ha importanza: qualsiasi certificato accettato dai browser funzionerà altrettanto bene.

È importante: utenti "paranoici" informati FARE preoccupazione per CA che ha fatto cose brutte in passato, quindi aspettati che alcuni utenti rifiutino o almeno ti interroghino sui certificati COMODO.

In ogni caso, l'intera PKI SSL è inutile!

modifica mod in risposta alla bandiera "offensiva"