Rischio nell'acquisto di un certificato SSL da parte di una parte non conosciuta

Non c'è il rischio di compromettere la chiave privata, perché si invia solo il CSR che contiene il pubblico, ma non la chiave privata. Ma l'utilizzo di una CA è in effetti una delega di fiducia, poiché le persone si fidano del certificato perché (o il browser) si fidano della CA che ha firmato il certificato. Una volta che notano che la CA non è più affidabile (come DigiNotar dopo essere stata violata nel 2011) rimuoverà il fiducia e quindi non si fideranno più di alcun certificato emesso dalla CA, che influisce direttamente su di te.

Se la CA stessa è affidabile, ma il rivenditore è economico, non mi preoccuperei troppo. I rivenditori ottengono spesso un enorme sconto dalla CA e possono quindi offrire prezzi convenienti se i loro altri costi (come il marketing) sono ridotti.

Dovresti controllare se il venditore ha costi elevati per servizi che non ti servono in questo momento, ma che potrebbero essere necessari in seguito, come il rinnovo o la revoca del certificato. Questo è il cosiddetto buy-in e devi stare attento a questa tattica quasi ovunque fai acquisti.

Il rischio di utilizzare una CA dall'aspetto shifty non è nel processo di registrazione del certificato: finché si genera la coppia di chiavi e si invia solo la richiesta di certificato alla CA (che contiene solo la chiave pubblica) e si riceve il raw certificato in risposta (non un archivio PKCS # 12 / PFX), quindi la tua chiave privata è tua e solo tua.

Il rischio, tuttavia, è in fidarsi . Affinché il tuo certificato sia utile, chiunque tu lo mostri (ad esempio il browser Web del client) dovrà fidarsi della CA, altrimenti il tuo certificato non ti farebbe del bene. Se si fidano della CA, si fidano di tutti i certificati che CA può produrre. Tecnicamente non è un tuo problema, ma il problema dei clienti; tuttavia, se la CA sembra davvero economica, per associazione, anche sembrerà davvero economica. Questa potrebbe non essere l'immagine che vuoi proiettare.

Un cliente può facilmente conoscere la provenienza di qualsiasi certificato chiedendo al suo browser di visualizzare la "catena di certificati" (basta fare clic sull'icona "lucchetto").

Cose da sapere sui rivenditori.

1. È prassi diffusa che le AC vendano i loro certificati di costo inferiore tramite i rivenditori a prezzi convenienti, ma vendono gli stessi a prezzi molto più elevati sul proprio sito web. Questo fatto di per sé non è motivo di preoccupazione.

   Quando effettuano una vendita tramite un rivenditore, il costo viene ridotto. Inoltre, dipendono dalla rete di rivenditori per promuovere il loro prodotto.

2. I rivenditori gestiscono la fatturazione e aspetti del supporto, ma non hanno accesso alle chiavi private root della CA e non possono generare certificati sulle proprie macchine. I certificati sono ancora generati sulle macchine della CA, secondo le proprie procedure di sicurezza e gestione delle informazioni, e devono ancora soddisfare i loro requisiti per dimostrare l'identità, ecc. In effetti, il rivenditore non ha davvero molto controllo su ogni aspetto della sicurezza e consegna tutto alla CA.

   Pertanto, la qualità e la sicurezza del prodotto finale che riceverete saranno le stesse che avresti acquistato direttamente dalla CA.

Cose da sapere quando acquisti da una società sconosciuta

1. Forniscono un servizio clienti decente? La CA il cui prodotto è in vendita probabilmente non fornirà direttamente supporto all'utente; questo è gestito nella maggior parte dei casi dal rivenditore.

2. Se è necessario revocare un certificato, fanno pagare per quel servizio? È un costo elevato?

   Il costo del rinnovo non è tanto un problema nella maggior parte dei casi perché sei libero di rinnovarti con qualcun altro se lo desideri. Non esiste un sistema che ti impedisca di ottenere un certificato per lo stesso dominio da un altro fornitore.