Vantaggi nell'uso dei certificati EV con un'autorità di certificazione ospitata privatamente

1

Per le aziende che hanno implementato la propria CA interna, c'è qualche vantaggio nella configurazione di CA per emettere un certificato EV ?

Qualunque proxy SSL (come Bluecoat) imita il certificato EV del sito esterno (paypal.com) e lo trasmette all'utente interno?

Quali altri casi d'uso, assicurazioni o vantaggi potrebbero offrire un certificato EV gestito internamente?

    
posta random65537 25.09.2011 - 13:10
fonte

3 risposte

5

Esistono certificati di convalida estesa (EV) per dare all'utente finale una maggiore garanzia che il sito web è quello che dicono di essere. Questo perché il processo di registrazione seguito dall'autorità di certificazione (CA) ha uno standard minimo (http://www.cabforum.org/Guidelines_v1_3.pdf).

Le effettive caratteristiche del certificato sono la stessa EV o nessuna EV, quindi il certificato non fornisce alcuna tecnologia di crittografia o sicurezza aggiuntiva. L'unica modifica al certificato è che un Certificate Practice Statement (CPS) riconosciuto dal browser come EV. Se l'identificatore di oggetto CPS (OID) corrisponde a un elenco di OID noti come EV e la normale convalida del certificato passa, nel browser viene visualizzato verde.

Per una rete interna, questo non dovrebbe fare alcuna differenza perché il livello di verifica dell'host e del richiedente è normalmente lo stesso. Se ha senso nel proprio ambiente, fallo comunque, tuttavia se stai cercando di aumentare la sicurezza, implementa il protocollo di stato del certificato online (OCSP - link ) sarebbe più utile. OCSP è supportato da Bluecoat, Windows 2008 R2 CA e una serie di altri prodotti.

Il supporto per l'intercettazione dei certificati SSL EV da un'appliance Bluecoat funziona ma il certificato visto dall'utente non avrà un CPS collegato al certificato, quindi non apparirà in verde nel browser.

Spero che questo aiuti.

    
risposta data 26.09.2011 - 08:07
fonte
3

dovrebbe non fare alcuna differenza - un regolare certificato autofirmato dice "Ti sto dicendo che sono io", mentre un certificato di autodidatta EV dice "Io sono veramente che ti dice che sono sicuramente me ". Nessuna delle due affermazioni è più o meno affidabile dell'altra e l'EV riguarda il livello di sicurezza che la CA (voi) ha nell'identità del titolare del certificato (anche voi).

Detto questo, non sarei sorpreso di scoprire che alcuni software client scritti male considerano i certificati EV come magicamente diversi indipendentemente dal percorso di fiducia.

    
risposta data 25.09.2011 - 17:44
fonte
2

Un certificato SSL regolare ti dice: "questo è davvero il nome di dominio example.com "

Il certificato EV ti dice anche: "questo veramente Example Ltd. "

Certificati falsi

Poiché "Esempio Ltd." è un nome legale ufficiale, la mia guess è che potrebbe essere considerato un uso improprio di un nome commerciale e Example Ltd. potrebbe fare causa. (Ma penso anche che emettere certificati falsi regolari per example.com vada contro i diritti di Example Ltd.)

NON sono un avvocato.

Vantaggio dei certificati EV per uso interno

Invece di mostrare " name-of-bob's-computer.internal-domain " nella barra degli indirizzi, il browser mostrerà " Computer di Joe " in verde!

    
risposta data 25.09.2011 - 18:51
fonte