EV SSL vs TLS - quale è una versione avanzata

4

Capisco che SSL sia il predecessore di TLS. Che ne dici di EV SSL? Stiamo utilizzando un gateway di pagamento che sta implementando presto una modifica e richiederà TLS1.1 o versione successiva. Attualmente stiamo usando un SSL da Godaddy e hanno detto che se vogliamo aggiornare il più alto che hanno è EV SSL. Volevo capire se EV SSL è equivalente a TLS1.1 o inferiore.

    
posta Swagata 30.11.2017 - 23:53
fonte

2 risposte

23

Penso che ci sia una mancata corrispondenza terminologica tra il protocollo SSL / TLS (messaggi inviati su una rete) e le autorità di certificazione SSL che emettono certificati digitali da utilizzare con TLS / SSL e / o altri protocolli crittografici.

SSL / TLS

Hai ragione che SSL è il pre-cursore di TLS. Questo si riferisce alla configurazione crittografica nel tuo server con versioni superiori che indicano una crittografia più moderna:

SSL 1.0 (obsolete)
SSL 2.0 (obsolete)
SSL 3.0 (mostly obsolete)
TLS 1.0
TLS 1.1
TLS 1.2

Queste sono le impostazioni che configuri nel tuo server web e determinano quale crittografia verrà utilizzata da un browser durante la connessione al tuo server. È necessario un certificato per il server per abilitare SSL / TLS, ma per la maggior parte, qualsiasi certificato che si ottiene da una CA può essere utilizzato con qualsiasi versione di TLS.

Autorità di certificazione SSL

Un'autorità di certificazione emette certificati per l'utilizzo con TLS e / o altri protocolli crittografici come l'email S / MIME, la firma di documenti PDF, ecc. La maggior parte delle CA commercializza i certificati di tipo "server Web" come "SSL" anziché "TLS" per ragioni storiche La maggior parte delle CA offre vari punti di certificazione, solitamente suddivisi in:

Domain Validated (DV)
Organization Validated (OV)
Extended Validation (EV)

Si riferisce a quanto tempo i loro umani spendono facendo controlli di background per assicurarsi di essere il proprietario del sito Web per il quale si richiede un certificato. Controllano cose come: puoi pubblicare un file che forniscono da qualche parte sul sito? Il record DNS per quel dominio ti elenca come proprietario? Se il record DNS elenca una società, sei in realtà un dipendente con l'autorizzazione a richiedere certificati per conto di tale società? E così via, con i certificati DV basta fare l'automatismo "puoi caricare un file?" controlli e EV a volte richiedono incontri faccia a faccia tra te e la CA e documenti originali firmati a mano dal CEO.

Di conseguenza, i browser visualizzano icone di blocco più grandi e più verdi per EV per indicare agli utenti che il browser è estremamente sicuro che questo non è un sito di phishing. (I certificati EV sono dove si vede il nome legale della società come parte dell'icona di blocco TLS). Tieni presente che i blocchi di verde più grandi non hanno nulla a che fare con il tipo di crittografia o versione di TLS utilizzato.

Bottom line: il livello di certificato che acquisti (DV, OV, EV) e la versione di TLS per cui configuri il tuo server (SSLv3, TLS1.2, ecc.) non hanno quasi nulla a che fare l'uno con l'altro . Tutti i livelli di certificato utilizzano lo stesso tipo di crittografia e tutti i certificati sono compatibili con tutte le versioni del protocollo TLS.

    
risposta data 01.12.2017 - 00:08
fonte
10

Sono ortogonali. Esistono protocolli (SSL, TLS) e certificati (DV, EV) utilizzati nel processo di connessione / sessione.

Un certificato di convalida EV o esteso indica semplicemente che la tua organizzazione ha attraversato il processo di verifica attualmente più ampiamente definito per ottenere un certificato x.509 o SSL. Questo non è in alcun modo correlato alla negoziazione della sessione SSL o TLS e al processo di costituzione.

Qualsiasi tipo di certificato (dominio validato (DV), organizzazione validata (OV) o validazione estesa (EV), la certificazione può essere utilizzata per stabilire SSL 2.0, SSL 3.0, TLS 1.0, TLS 1.1 o TLS 1.2 ( e presto TLS 1.3). La configurazione del server determinerà quali protocolli SSL / TLS sono supportati, non il tipo di convalida del certificato.

    
risposta data 01.12.2017 - 00:04
fonte

Leggi altre domande sui tag