Quali tipi di certificati SSL sono utilizzabili per la crittografia?

I certificati non forniscono la crittografia. La crittografia proviene da SSL stesso. Il certificato consiste nel convincere il cliente che i dati che crittografa doverosamente vengono realmente inviati al vero server previsto e non a qualcun altro che impersona il server. Un certificato per un server SSL può utilizzare una chiave che funziona solo per le firme digitali (ad esempio una chiave DSA) ei dati saranno comunque crittografati.

Il prezzo di un certificato, da una CA commerciale, è guidato dalle seguenti tendenze:

• La CA dovrebbe eseguire controlli più o meno approfonditi sull'identità di chi acquista il certificato. Questo è l'unico e unico punto della CA: collegare una "identità fisica" con una chiave pubblica. Tali verifiche implicano lavoro umano, e questo può essere costoso.

• La CA ha assicurazioni . Quando si acquista il certificato, la CA diventa responsabile per problemi di sicurezza che possono emergere dalla CA non seguendo le procedure di verifica previste, come definito nella "dichiarazione della politica di certificazione". In poche parole, quando acquisti un certificato più costoso, hai il diritto di citarli per più soldi.

• La CA commerciale ti addebiterà il più possibile. Se una CA ti vende un certificato da $ 600, significa che hanno stimato che avrebbero perso troppe vendite se il prezzo fosse di 650 $. Il valore commerciale di un certificato deriva dal fatto che la chiave root di CA è già nota al browser del client SSL; per Windows / Internet Explorer, l'elenco predefinito di CA noto è gestito da Microsoft e non includerà alcuna CA. Di conseguenza, il mercato CA non è completamente aperto e la concorrenza non riesce a ridurre i prezzi. Al momento, i certificati SSL tendono ad essere troppo caro. Ad esempio, questo ha permesso a il fondatore di Thawte Mark Shuttleworth di acquistare un viaggio nello spazio e quindi creare e finanziare Distribuzione Linux Ubuntu - così si può supporre che la CA commerciale ricava un notevole profitto da ogni certificato venduto.

Puoi creare i tuoi certificati ( OpenSSL è uno strumento gratuito che può farlo, ad esempio, vedi EJBCA per qualcosa con un'interfaccia più gradevole); i certificati fatti in casa sono spesso autofirmati (in un certificato deve esserci una firma della CA di emissione, il formato non consente di omettere il campo della firma, quindi è consuetudine che il certificato "firmi da solo" nel caso di uno stand certificato autonomo senza CA). La conseguenza pratica di un certificato fatto in casa è che il browser Web mostrerà alcuni avvertimenti spaventosi quando li incontrano la prima volta (ma gli utenti sono piuttosto bravi a ignorare gli avvertimenti - che, a proposito, è anche un problema, in generale).

Sembra che tu sia un po 'confuso su ciò che effettivamente fa SSL. Le transazioni SSL sono sempre criptate - sempre. Non esistono nemmeno senza crittografia. Quello che vuoi sapere è l'autenticazione, che è completamente diversa. [Aggiornamento: è possibile scegliere un algoritmo non encyrpting.]

In un normale scenario di acquisto, ad esempio Amazon.com, la tua connessione viene crittografata end-to-end. Come sai che sono chi dicono di essere? Verisign ha firmato il proprio certificato con la propria chiave privata. Il tuo browser è stato spedito con il certificato di Verisign, quindi puoi sapere con certezza che il sito web di amazon.com con cui stai parlando è quello firmato da Verisign. Sanno solo che tu sei chi pretendi di essere perché conosci la tua password. Quindi, li conosci attraverso un certificato PKI, ti conoscono attraverso una password.

In determinate circostanze, sia il client che il server possono utilizzare i certificati PKI per identificarsi. Questo può essere fatto con un file locale, un dispositivo USB o un lettore di smart card. In tal caso, controlli la firma dei clienti e loro controllano i tuoi.

Suggerisco di essere coinvolto con CAcert . È un'autorità di certificazione gratuita supportata dalla comunità. L'unico svantaggio (e può essere grande) è che i principali browser non stanno ancora spedendo il loro certificato di root. Sei libero di usarlo, ma potresti doverlo distribuire ai tuoi browser da solo. È qualcosa da cui imparare e pensare.

Di solito, i certificati sono praticamente equivalenti: esiste uno standard chiaro per i certificati crittografici ( X.509 ), e mentre ci sono diverse "modalità" per i certificati, tutti in genere supportano qualsiasi tipo di crittografia che si desidera utilizzare.
La mia risposta certamente complessa (perché, questo non è semplice), si applica principalmente alla configurazione del server. Per esempio. le suite di crittografia sono configurate nel server Web (e nel browser).

Il certificato è principalmente una chiave pubblica (con chiave privata associata), con campi aggiuntivi e un "wrapper" che certifica che qualcuno ha verificato l'identità del detentore del certificato.

(Si noti che ci sono anche algoritmi di crittografia specificati nel certificato, ma questo vale per la firma e così via.)

Per favore fammi sapere se hai bisogno di ulteriori informazioni ...

RapidSSL fornirà la crittografia così come qualsiasi certificato SSL (è possibile che una connessione server-client possa finire con l'utilizzo di crittografi nulli in alcune circostanze, ma non è in fondo al certificato)

Inoltre, in alcuni ambienti, i certificati SSL autofirmati gratuiti sono un'opzione perfettamente ragionevole.

La differenza che si riscontra nel costo dei certificati di solito si riduce al livello di controllo eseguito dall'autorità di certificazione e ad altre "caratteristiche" fornite dal certificato, ad esempio per cosa può essere utilizzato e se si tratta di un certificato con caratteri jolly.

I certificati più convenienti tendono a non comportare un grande controllo da parte della CA che in realtà hai diritto a un certificato per un determinato dominio, con alcuni può essere il minimo di poter ricevere un'e-mail per determinati indirizzi email specificati in un determinato dominio (ad esempio, ssladmin @ domain).

La teoria è che il certificato più costoso con più controlli è migliore perché gli utenti possono avere più fiducia che sia legittimo. Tuttavia, quasi nessun utente controlla l'emittente del certificato, quindi non sono sicuro che sia un motivo valido.

La cosa principale da tenere d'occhio sui certificati per i servizi pubblici è che il certificato di root utilizzato per firmare il tuo è incorporato in tutti i principali browser. In caso contrario, gli utenti riceveranno avvisi di certificato durante la connessione al tuo sito che potrebbero dissuadere dal loro utilizzo.

C'è un'eccezione a ciò che è l'uso di "EV-SSL", che è molto popolare con le banche e alcuni siti di e-commerce più grandi. un certificato EV fornirà alcune notifiche visive nel browser che è in uso, progettato per far sentire l'utente che c'è più fiducia in quella connessione.

Per ottenere un certificato EV, la CA di emissione dovrebbe eseguire alcuni controlli per garantire che tu sia il proprietario appropriato del certificato, il che è uno dei motivi per cui hanno un costo più elevato.