La forza di crittografia SSL o il livello di convalida di un sito Web è davvero importante?

8

Quando si cerca di ottenere un certificato SSL uno viene presentato con un sacco di opzioni. Ad esempio, prendi Soluzioni di rete dal momento che hanno una bella tabella di confronto.

Immediatamente sembrano esserci 4 opzioni principali: certificati economici, certificati di business class (che hanno le stesse caratteristiche dei certificati economici ma con supporto e un beneficiario maggiore), certificati jolly e certificati di convalida estesa.

È davvero importante alla fine quale certificato ottieni? Quante persone, oltre alla sicurezza paranoica, controllano la forza della crittografia e il livello di verifica di ogni sito HTTPS prima di andare oltre?

Perché i siti dovrebbero andare a convalida estesa quando un certificato economico o un certificato aziendale andrà bene? La convalida estesa in questo caso è 4 volte più costosa dei certificati aziendali e 30 volte più costosa di un certificato economico. E 'puramente per il supporto tecnico e beneficiario più grande o c'è un altro motivo?

    
posta TheLQ 30.08.2011 - 18:16
fonte

3 risposte

6

La parte importante nella pagina che punti è la "garanzia": quanti soldi NetworkSolutions mette in gioco. Le opzioni si riducono, più o meno direttamente, a quello.

Crittograficamente parlando, la "forza di crittografia" dipenderà dal tipo e dalla dimensione della tua chiave pubblica (quella che inserirai nel certificato) e dalle suite di crittografia che configurerai sul tuo server SSL; questo è per lo più ortogonale al certificato "categoria". NetworkSolutions potrebbe imporre alcuni requisiti sulla chiave pubblica (ad esempio richiedendo una chiave RSA a 2048 bit per i tipi di certificato più costosi); ma la configurazione del server SSL è completamente fuori dalla loro portata.

    
risposta data 30.08.2011 - 18:45
fonte
5

Praticamente nessun utente finale controlla l'emittente, e anche se lo facesse, verrrrry poche persone potrebbero prendere una decisione informata sulla qualità relativa delle CA.

La mia esperienza e opinione sono che l'EV-SSL ha un valore basso. A seconda di un utente per riconoscere la differenza tra una barra blu e una barra verde è un ordine alto. E in ogni caso, se un cattivo dovesse ottenere un certificato canaglia, non importa ai tuoi utenti se il vero certificato è EV. Sono sicuro che ci sono altri con l'opinione opposta qui, ma prendi questo per quello che vale.

    
risposta data 30.08.2011 - 19:27
fonte
-1

How many people besides paranoid security people check the encryption strength

Solo le persone male informate controllerebbero la forza della crittografia.

Nessuno attacca la crittografia SSL / TLS stessa! I Cyphers sono abbastanza forti - tranne i 40 bit "esportazione USA" schifo castrato, naturalmente.

Ad esempio: In caso di problemi di rinegoziazione del Transport Layer Security (TLS) descritti nel link : la vulnerabilità era all'interno della caratteristica usata raramente del protocollo, non un problema con la crittografia stessa.

I numeri grandi sono SOLO lì per impressionare le persone che NON comprendono la sicurezza del computer. Non fa assolutamente alcuna differenza nella pratica.

EV risolve un problema che NON esiste e non fa nulla per risolvere i MOLTI problemi che esistono con questa PKI SSL: EV è un'acrobazia PR. Se l'EV fosse preso sul serio per la sicurezza del WWW, avremmo un nuovo schema URL "httpsEV:".

Gli utenti informati che si preoccupano degli attacchi contro il livello SSL NON si preoccupano di EV.

Utenti "paranoici" informati NON preoccuparti delle modifiche impreviste del certificato, specialmente se cambi CA. Informa in anticipo gli utenti se cambi CA.

Utenti "paranoici" informati FATE preoccupazione per CA che ha fatto cose cattive in passato, quindi aspettatevi che alcuni utenti rifiutino o almeno vi interroghino sui certificati COMODO.

    
risposta data 21.09.2011 - 00:27
fonte