Firma digitale: Classe 2 vs Classe 3

Attenzione: mezza conoscenza in anticipo.

Se si guarda un dato certificato, si vede che contiene vari campi che potrebbero teoricamente essere controllati da un'applicazione. Ad esempio, un'applicazione potrebbe rifiutare un certificato che utilizza una crittografia debole (Google Chrome lo fa). I certificati possono anche avere uno scopo specifico (come ad esempio: utilizzare questo solo per l'autenticazione del client). Quindi è possibile che un'applicazione che prevede un qualche tipo di certificato specifico possa rifiutare un "non classificato" -uno.

Inoltre, in teoria, un'applicazione potrebbe essere schizzinosa su quali autorità di certificazione si fidavano (ad esempio, solo quelle in india ...). Solitamente tali liste sono distribuite come parte del sistema operativo o delle librerie SSL del sistema operativo e i browser vengono (credo) con i propri elenchi aggiuntivi di autorità di certificazione attendibili.

Ora, dal momento che la maggior parte delle applicazioni non esegue il proprio crypto e non mantiene il proprio elenco di autorità di certificazione attendibili e utilizza invece librerie software per controllare le firme, suppongo che dovresti essere d'accordo nell'usare un non -indirizzo inglese. Pensa a cosa succederebbe all'interoperabilità se ogni altra applicazione utilizza regole diverse su quali certificati accettare.

Un'eccezione potrebbe essere se tu avessi a che fare con un software specifico scritto dal governo indiano, che potrebbe avere severe restrizioni su quali certificati accettare.

Ma in realtà non penso che ci sia un modo per dirlo con certezza. Questa risposta è per lo più congettura.

Un'altra mezza risposta.

Il mio primo pensiero è che questo ha una sorprendente somiglianza con DV / OV / EV utilizzati in SSL :

Class 0 Certificate: This certificate shall be issued only for demonstration/ test purposes.

Nessun equivalente.

Class 1 Certificate: Class 1 certificates shall be issued to individuals/private subscribers. These certificates will confirm that user's name (or alias) and E-mail address form an unambiguous subject within the Certifying Authorities database.

Un certificato (DV) valido per il dominio è un certificato digitale X.509 utilizzato in genere per Transport Layer Security (TLS) in cui l'identità del richiedente è stata convalidata dimostrando il controllo su un DNS dominio. [wikipedia]

Class 2 Certificate: These certificates will be issued for both business personnel and private individuals use. These certificates will confirm that the information in the application provided by the subscriber does not conflict with the information in well-recognized consumer databases.

Certificato SSL convalidato dall'organizzazione (OV) : i certificati organizzativi sono attendibili. Le organizzazioni sono rigorosamente autenticate da agenti reali contro i database del registro aziendale ospitati dai governi.

Class 3 Certificate: This certificate will be issued to individuals as well as organizations. As these are high assurance certificates, primarily intended for e-commerce applications, they shall be issued to individuals only on their personal (physical) appearance before the Certifying Authorities.

Un Certificato di convalida esteso (EV) è un certificato utilizzato per i siti Web e il software HTTPS che dimostra l'entità legale che controlla il sito web o il pacchetto software. L'ottenimento di un certificato EV richiede la verifica dell'identità [legale] dell'entità richiedente da parte di un'autorità di certificazione (CA). [wikipedia]

Nota che ci sono regole molto severe ( pdf ) per la profondità del background che controlla che una CA deve fare prima di emettere un certificato EV.