Qual è l'impatto del livello di convalida dei certificati (o classe) sulle applicazioni Web distribuite?

4

I certificati possono avere un livello di classe (o livello di validazione). Qual è l'impatto di questi livelli sulle applicazioni Web implementate?

Più in particolare:

  1. Il livello del certificato è incluso nel certificato stesso?

  2. È possibile utilizzare un certificato di livello 1 per distribuire un'applicazione Web che includa un servizio a pagamento?

  3. I popup vengono visualizzati sul lato utente se il certificato di un sito Web è troppo basso? Se sì, a quale livello?

Grazie.

    
posta Jérôme Verstrynge 29.09.2011 - 16:43
fonte

1 risposta

4
  1. Il livello del certificato di solito può essere visto nel certificato (ad esempio, certificati gratuiti StartCom hanno OU=StartCom Free Certificate Member, O=Persona Not Validated nel DN soggetto - apparentemente non più (vedi sotto), e vengono utilizzati certificati CA intermedi separati per diversi livelli). Ma almeno in Firefox questa informazione non è facilmente disponibile nell'interfaccia utente del browser (è necessario accedere alla finestra delle proprietà del certificato con molte informazioni tecniche per vederla); solo i certificati EV sono chiaramente indicati, e tutto ciò che è sotto EV è fondamentalmente trattato allo stesso modo.

    Requisiti di base del forum CA / Browser per l'emissione e la gestione di certificati attendibili pubblicamente (versione 1.0 adottata il 22 novembre 2011 con una data di validità del 1 ° luglio 2012), specificare due identificativi della politica di certificazione che possono essere utilizzati facoltativamente dalle CA per affermare il livello di convalida dell'identità:

    • 2.23.140.1.2.1 - è stata eseguita solo una convalida del dominio;
    • 2.23.140.1.2.2 - l'identità del soggetto è stata convalidata prima di rilasciare il certificato.

    Almeno StartCom ora utilizza 2.23.140.1.2.1 in certificati di Classe 1 di nuova emissione e non include più un OU=StartCom Free Certificate Member, O=Persona Not Validated leggibile dall'uomo nel DN soggetto. Tuttavia, al momento i browser non sembrano prestare attenzione a questi OID della politica quando visualizzano le informazioni del certificato (ad esempio, Il bug di Mozilla # 740571 è ancora aperto).

  2. L'utilizzo di certificati di livello 1 per scopi commerciali potrebbe essere contrario al criterio CA. La CA può rifiutarsi di emettere il certificato se il nome di dominio suggerisce ovviamente un uso commerciale o revocare successivamente il certificato per violazione della politica.

  3. Se un certificato è valido (non scaduto, il certificato di root corrispondente è affidabile, non ci sono problemi nella verifica della catena di fiducia e i controlli di revoca vengono eseguiti correttamente), non ci saranno popup di avviso a prescindere dal livello di convalida del certificato.

risposta data 01.10.2011 - 15:04
fonte

Leggi altre domande sui tag