La convalida estesa EV verde è più lenta di un normale SSL?

2

In che modo il certificato SSL di convalida estesa EV verde influisce sulla velocità del mio sito web (se non lo è) rispetto a un normale SSL?

Inoltre, il mio provider consente solo ai certificati verdi EV di essere nella root (nessun sottodominio o jolly *. consentito). È normale? Posso mescolare EV verde per il root e regolare SSL per tutti i sottodomini *.mydomain.com ?

    
posta Yovav 24.06.2016 - 12:03
fonte

4 risposte

5

Is EV green extended validation slower than a regular SSL?

Un certificato EV è solo un normale certificato ma con alcune estensioni X509 specifiche per emittente speciali. Il browser confronta queste estensioni con le estensioni previste per i certificati EV sulla CA dell'emittente e, se corrispondono, mostreranno la barra EV verde.

Queste speciali estensioni X509 non sono correlate alla forza del certificato e infatti la forza utilizzata è la stessa di qualsiasi altro certificato moderno, vale a dire solitamente 2048 bit con SHA-256 come algoritmo di firma. Ciò significa che il tempo necessario per la convalida del certificato è in genere uguale a quello con altri certificati. L'unica differenza principale è che i browser di solito richiedono un controllo di revoca con successo con OCSP durante la connessione a un sito con un certificato EV. E se non viene utilizzata la pinzatura OCSP, questo controllo di revoca comporterà un'ulteriore connessione TCP al responsabile OCSP che rallenterà l'impostazione iniziale della connessione.

... my provider only allow the EV green certificates to be on the root (no sub domains or wildcard *. allowed). Is that normal?

Le regole per i certificati EV sono definite dal forum CA / Browser. Pertanto, nella sezione 9.2.3, i caratteri jolly non sono consentiti:

Wildcard certificates are not allowed for EV Certificates.

Tuttavia non vedo alcuna regola speciale per i sottodomini.

Can I mix EV green for the root and regular SSL for all sub domains *.mydomain.com ?

Potresti farlo in teoria. Ma sarebbe meglio includere semplicemente tutti i nomi degli host che si usano nel certificato EV come nomi alternativi di soggetto.

    
risposta data 24.06.2016 - 12:45
fonte
2

How does EV green extended validation SSL certificate affects the speed of my web site (if at all) comparing to a regular SSL?

Il certificato SSL EV non influisce sulla velocità di caricamento del sito Web e funziona come il certificato SSL non EV. Infatti tutti i certificati SSL sono dotati della stessa crittografia a 256-bit e della crittografia a chiave radice 2048-bit, ma ci sono differenze tra i processi di verifica che danno sicurezza al tuo sito web e ispira gli utenti web a gestire.

Quando CA riceve una richiesta di certificato dal richiedente, controllerà l'esistenza legale, fisica e operativa dell'entità confermando i documenti ufficiali come le informazioni sull'incorporazione e le licenze commerciali e il richiedente ha privilegi speciali per utilizzare il dominio.

Una volta installato il certificato EV SSL sul sito, abiliterà "Il nome della tua azienda nella barra verde" che è il segno più visibile di sicurezza e autenticazione e aiuterà a identificare i siti di phishing.

Also, my provider only allow the EV green certificates to be on the root (no sub domains or wildcard *. allowed). Is that normal?

Tutte le CA devono seguire le linee guida CA / Forum Forum per emettere certificato digitale e regole "I certificati Wildcard non sono consentiti per i certificati EV".

Can I mix EV green for the root and regular SSL for all sub domains *.mydomain.com ?

Non è possibile ottenere il certificato SSL EV per .mydomain.com, poiché l'asterisco () fa riferimento a numeri illimitati in termini di caratteri jolly.

Soluzione 1

Alcuni fornitori di certificati abilitano le funzionalità SAN e consentono l'aggiunta di più siti o sottodomini con il loro certificato SSL EV che è possibile ottenere il certificato SSL multivirus EV per i propri siti e / o sottodomini. Al momento di ordinare il certificato, è necessario selezionare i numeri dei nomi alternativi dei soggetti e aggiungere domini specifici e / o nomi di host.

Soluzione n. 2

È inoltre possibile ottenere il certificato SSL EV per il dominio radice e il certificato SSL wildcard per * .mydomain.com. In tal caso, devi gestire due singoli certificati e la barra verde non sarà abilitata su sib-domains.

    
risposta data 27.06.2016 - 12:25
fonte
1

AFAIK, EV è solo una questione burocratica che richiede di avere una posizione fisica, un nome registrato e altre cose che ti identificano.

Tuttavia, il certificato è lo stesso, quindi non c'è diminuzione delle prestazioni rispetto a un normale certificato DV.

    
risposta data 24.06.2016 - 12:24
fonte
1

How does EV green extended validation SSL certificate affects the speed of my web site (if at all) comparing to a regular SSL?

Assolutamente no. I certificati EV sono tecnicamente gli stessi dei certificati regolari con un numero di politica OID diverso (in modo che i browser possano differenziare i certificati EV). La principale differenza per EV è nel processo di verifica dell'identità quando si acquista il certificato. Un certificato EV dice ai tuoi utenti che la CA ha verificato l'identità del titolare del certificato in base al processo EV.

Also, my provider only allow the EV green certificates to be on the root (no sub domains or wildcard *. allowed). Is that normal?

EV CA non è autorizzata a emettere un certificato con caratteri jolly EV per linea guida di emissione CA / Browser EV . La CA EV può emettere certificato per i sottodomini, ma è necessario eseguire la verifica del dominio per ciascun sottodominio. Di solito devi acquistare un certificati EV / multi dominio EV anziché un certificato con un singolo nome.

Can I mix EV green for the root and regular SSL for all sub domains *.mydomain.com ?

Non c'è tecnicamente nulla che ti impedisca di farlo. Tuttavia, spesso non è una buona idea se la Wildcard si sovrappone all'EV. Questo perché i certificati Wildcard vengono solitamente distribuiti su un numero elevato di macchine ei certificati EV vengono solitamente distribuiti su sistemi con maggiore sicurezza, in quanto i sistemi che richiedono EV sono solitamente il sistema più importante. Se la Wildcard è trapelata su uno di questi sistemi, l'utente malintenzionato sarebbe in grado di impersonare il tuo dominio EV. Questo potrebbe o non potrebbe applicarsi a te.

Alcuni fornitori di certificati aggiungono il nome del dominio radice a una Wildcard come SAN, in modo che il tuo Wildcard potrebbe anche essere utilizzabile per il tuo dominio principale. Per questo motivo devi fare attenzione quando usi certificati con diversi livelli di verifica sulla tua radice.

    
risposta data 24.06.2016 - 15:31
fonte

Leggi altre domande sui tag