Haftungsausschluss: Diese Antwort stammt direkt aus dem eHow-Artikel. Keine Verletzung beabsichtigt.

SSL-Zertifikate zur Domänenvalidierung

SSL-Zertifikate mit Domänenvalidierung werden verwendet, um ein grundlegendes Vertrauensniveau für eine Website herzustellen und nachzuweisen, dass Sie die von Ihnen besuchte Website besuchen Ich denke du besuchst. Diese Zertifikate werden ausgestellt, nachdem der SSL-Aussteller bestätigt hat, dass die Domain gültig ist und der Person gehört, die das Zertifikat anfordert. Es ist nicht erforderlich, Unternehmensunterlagen einzureichen, um ein Domain Validation SSL-Zertifikat zu erhalten, und diese Arten von SSL-Zertifikaten können extrem schnell ausgestellt werden. Der Nachteil dieser Arten von Zertifikaten besteht darin, dass jeder sie erhalten kann und sie kein wirkliches Gewicht haben, außer um die Kommunikation zwischen Ihrem Webbrowser und dem Webserver zu sichern.

SSL-Zertifikate zur Organisationsvalidierung

Ein Organisationsvalidierungs-SSL-Zertifikat wird an Unternehmen ausgestellt und bietet ein höheres Maß an Sicherheit gegenüber einem Domänenvalidierungs-SSL-Zertifikat. Für ein Organisationsvalidierungszertifikat müssen einige Unternehmensinformationen zusammen mit Domänen- und Eigentümerinformationen überprüft werden. Der Vorteil dieses Zertifikats gegenüber einem Domänenvalidierungszertifikat besteht darin, dass es nicht nur Daten verschlüsselt, sondern auch ein gewisses Maß an Vertrauen in das Unternehmen bietet, dem die Website gehört.

SSL-Zertifikate mit erweiterter Validierung

Ein SSL-Zertifikat mit erweiterter Validierung ist ein SSL-Zertifikat der Spitzenklasse. Um eine zu erhalten, muss ein Unternehmen einen umfangreichen Überprüfungsprozess durchlaufen, und alle Details des Unternehmens müssen vor Ausstellung des Zertifikats als authentisch und legitim überprüft werden. Während dieses Zertifikat einem SSL-Zertifikat zur Organisationsvalidierung ähnelt, besteht der Hauptunterschied in der Überprüfung und Überprüfung, die für den Eigentümer der Domäne und das Unternehmen durchgeführt wird, das das Zertifikat beantragt. Nur ein Unternehmen, das eine gründliche Untersuchung besteht, darf das SSL-Zertifikat für die erweiterte Validierung verwenden. Diese Art von Zertifikat wird von modernen Browsern erkannt und durch einen farbigen Balken im URL-Bereich des Browsers angezeigt.

Zusätzlich wirken sich OV und EV auch auf die Versicherungssummen in aus Fall eines Kompromisses. Die Versicherungsprämie für einen EV liegt viel höher als bei einem OV.

Lesen Sie mehr / Original: Mickey Walburg, Unterschiede bei SSL-Zertifikaten | eHow.com

Es liegt letztendlich in der Verantwortung des Benutzers des Kunden, die Gültigkeit des Zertifikats zu überprüfen. Als Dienstanbieter können Sie nicht nur den Benutzer schulen, wenn Sie können, sondern auch nicht viel auf Ihrer Seite tun: Sie kontrollieren nicht Welche Zertifikate vom Browser des Benutzers als vertrauenswürdig eingestuft werden und Sie nicht wissen können, ob die Benutzer überprüft haben, ob sie SSL / TLS ordnungsgemäß verwenden, und mögliche Warnungen nicht ignoriert haben.

Sie müssen versuchen, zu beurteilen, wie es Ihrem Benutzer geht Ich gehe davon aus, dass die Zielgruppe für Ihre Website nicht unbedingt technisch oder PKI-Experte ist. Wie Ihre Benutzer reagieren werden, hängt davon ab, was sie über Zertifikate gelernt haben. Leider gibt es eine Viele widersprüchliche oder vage Informationen zu diesem Thema, sogar von CA selbst (denken Sie daran, dass CAs ein begründetes Interesse daran haben, dass ihre Kunden teurere Zertifikate kaufen möchten).

Validierungsmodi

Der allgemeine Zweck eines Zertifikats (öffentlicher Schlüssel) besteht darin, Binden Sie eine Identität an einen öffentlichen Schlüssel (binden Sie daher die Identität mit dem entsprechenden privaten Schlüssel im SSL / TLS-Handhsake an den Server).

Lucas Kauffman hat bereits eine Antwort geschrieben, in der der Unterschied zwischen domänenvalidierten Zertifikaten aufgeführt ist Die eigentliche Frage, die Sie sich stellen müssen, ist , was Sie dem Benutzer beweisen möchten.

Der Unterschied zwischen diesen Arten von Zertifikaten Mit Zertifikaten wird diese Identität selbst definiert.

Die domänenvalidierten Zertifikate garantieren Ihnen, dass das Zertifikat an den Eigentümer dieser Domäne ausgestellt wurde. Nicht mehr, aber nicht weniger (ich gehe davon aus, dass das Validierungsverfahren hier korrekt war). In vielen Fällen ist dies ausreichend. Es hängt alles davon ab, ob die von Ihnen beworbene Website mit einer Institution verknüpft werden muss, die bereits offline bekannt ist. Zertifikate, die für eine Organisation validiert wurden (OV- und EV-Zertifikate), sind hauptsächlich nützlich, wenn Sie die Domäne auch an eine physische Organisation binden müssen.

Sie ist beispielsweise für eine Institution nützlich, die ursprünglich über ihre Organisation bekannt war Gebäude (z. B. Bank of America), um sagen zu können, dass ein Zertifikat für bankofamerica.com tatsächlich für den Ort gilt, an dem Sie Ihr physisches Geld gegeben haben. In diesem Fall ist es sinnvoll, ein OV- oder EV-Zertifikat zu verwenden. Dies kann auch nützlich sein, wenn Unklarheiten darüber bestehen, welche Institution hinter dem Domainnamen steht (z. B. apple.com und apple.co.uk ), was noch wichtiger ist Der ähnliche Domain-Name gehört einem Rivalen / Angreifer, der die Namensähnlichkeit für schlechte Zwecke verwendet.

Im Gegensatz dazu ist www.google.com das, was definiert Google für die Öffentlichkeit; Google muss nicht nachweisen, dass google.com zum echten Google gehört. Infolgedessen wird ein domänenvalidiertes Zertifikat verwendet (dasselbe gilt für amazon.com ).

Auch dies ist sehr nützlich, wenn der Benutzer weiß, wie dies zu überprüfen ist. Browser helfen hier nicht wirklich. Firefox sagt nur "was von (unbekannt) ausgeführt wird", wenn Sie weitere Details zum Zertifikat unter www.google.com wünschen, ohne wirklich zu sagen, was damit gemeint ist.

Zertifikate mit erweiterter Validierung sind ein Versuch, dies zu verbessern, indem das Verfahren zur Validierung der Organisation strenger gestaltet und das Ergebnis sichtbarer gemacht wird: grüner Balken und besser sichtbare Organisation.

Leider wird dies manchmal so verwendet, dass die Verwirrung zunimmt, denke ich. Hier ist ein Beispiel, das Sie selbst überprüfen können: Eine der großen britischen Banken (NatWest) verwendet den https://www.nwolb.com/ für ihre On- Line-Banking-Dienstleistungen. Es ist alles andere als offensichtlich, dass der Domainname NatWest gehört (der übrigens auch den logischeren Namen natwest.co.uk besitzt). Schlimmer noch, die erweiterte Validierung (wenn Sie den Namen neben dem grünen Balken überprüfen) erfolgt gegen "Royal Bank of Scotland Group plc":

Für diejenigen, die Finanznachrichten verfolgen, ist dies sinnvoll, da sowohl RBS als auch NatWest zur selben Gruppe gehören. Technisch gesehen sind RBS und NatWest jedoch Konkurrenten (und beide haben Niederlassungen auf der Hauptstraße in Großbritannien - obwohl dies der Fall sein wird Änderung) .Wenn Ihr Benutzer nicht über das zusätzliche Wissen verfügt, welche Gruppen unter welchem ​​Namen handeln, sollte die Tatsache, dass ein Zertifikat für den Namen eines potenziellen Konkurrenten ausgestellt wird, Alarmglocken läuten. Wenn Sie als Nutzer auf gooooogle.com ein Zertifikat gesehen haben, das an Microsoft oder Yahoo ausgestellt wurde, sollten Sie dies nicht als Google-Website behandeln.

Eins Bei EV-Zertifikaten ist zu beachten, dass ihre Konfiguration in den Browsern fest codiert ist. Dies ist eine Einstellung vom Typ Kompilierung, die später nicht konfiguriert werden kann (im Gegensatz zu normalen vertrauenswürdigen Zertifikatspeichern, in denen Sie beispielsweise Ihr eigenes institutionelles CA-Zertifikat hinzufügen können). Aus zynischerer Sicht könnten einige dies als eine bequeme Möglichkeit für die Hauptakteure betrachten, eine starke Position auf dem Markt zu halten.

Dichtungen

Einige Zertifizierungsstellen bieten auch verschiedene " Siegel ", die Sie auf Ihrer Website platzieren können, normalerweise mit unterschiedlichen Farben, abhängig von der Art des von Ihnen erworbenen Zertifikats. Sie scheinen als zusätzlicher Schritt gedacht zu sein, um zu verhindern, dass weniger seriöse Zertifizierungsstellen ein gültiges Zertifikat an die falsche Partei ausstellen.

Soweit mir bekannt ist, sind diese aus Sicherheitsgründen völlig nutzlos. Wenn Sie darauf klicken, um Ihr Zertifikat überprüfen zu lassen (wenn Sie beispielsweise auf das Logo von GoDaddy "Verifiziert ein sicheres" klicken, gelangen Sie auf diese Seite ), nichts sagt Ihnen, dass das angezeigte Zertifikat das gleiche ist wie das, das an den Dienst hinter seal.godaddy.com gesendet wurde. Wenn sich zwischen Ihnen und example.com ein MITM-Angreifer mit einem anderen gültigen Zertifikat für example.com befindet, das von einer schlampigen Zertifizierungsstelle ausgestellt wurde, wäre dies kein MITM-Angreifer zwischen example.com und seal.godaddy.com . Wenn der Benutzer das Zertifikat nicht wirklich im Detail betrachtet, würde das Siegel nicht viel helfen (wenn man bedenkt, dass der Angreifer einfach die Siegelverbindung entfernen oder auf die von der anderen Zertifizierungsstelle verweisen könnte).

Versicherungen

Einige Zertifikate sind auch mit einer Versicherung ausgestattet. Sie würden eine Entschädigung erhalten, falls während einer Transaktion bis zu einem begrenzten Betrag etwas schief geht. Mir ist nicht klar, unter welchen Bedingungen eine solche Versicherung beantragt werden kann.

Welche soll ich wählen?

Letztendlich behalten die meisten Benutzer die Standardliste der vertrauenswürdigen Zertifizierungsstellen bei Zertifikate, die mit ihrem Betriebssystem oder Browser gebündelt sind. Da die Benutzeroberfläche nicht sehr klar zwischen Zertifizierungsstellen unterscheidet, wird die Gesamtsicherheit des Benutzers (dessen Verantwortung es ist, das Zertifikat zu überprüfen) durch den kleinsten gemeinsamen Nenner in jeder Kategorie (blaue und grüne Balken) verringert.

Wenn es wichtig ist, den Domainnamen an eine "stationäre" Organisation zu binden, lohnt es sich, ein EV-Zertifikat in Betracht zu ziehen. Ich persönlich denke nicht, dass die Art und Weise, wie Benutzeroberflächen DV- und OV-Zertifikate unterscheiden, gut genug ist, um die Anzeige des Organisationsnamens mit einem blauen Balken nützlich zu machen.

Wenn Sie in erster Linie Ihrer Domain bekannt sind (oder wenn aus Sicht eines Benutzers überhaupt keine Unklarheit darüber besteht, dass die Domain Ihnen gehört), wählen Sie ein Zertifikat mit einem blauen Balken. (Überprüfen Sie die Versicherungsdetails, wenn dies für Ihre Website relevant ist.)

Der wichtige Punkt ist, dass der (einzige) Zweck des SSL-Zertifikats darin besteht, die Identität des Servers zu überprüfen, mit dem Sie kommunizieren.

Alles über die Verschlüsselung und Sicherheit der Verbindung wird zwischen ausgehandelt der Browser und der Server unabhängig vom Zertifikat. Solange der in das Zertifikat eingebettete Schlüssel groß genug und nicht gefährdet ist, ist Ihre Verbindung mit einem kostenlosen Zertifikat genauso sicher wie mit einem 2000-Dollar-Zertifikat.

Der Preis des Zertifikats spiegelt (oder zumindest sollte widerspiegeln) den Umfang der Überprüfung, die das ausstellende Unternehmen durchgeführt hat, um zu überprüfen, ob Sie über dieses Zertifikat verfügen dürfen.

BEARBEITEN

Bei Zertifikaten geht es eher um Vertrauen als um Sicherheit. Es ist eine subtile Unterscheidung, aber eine wichtige. Ich bin mit einem selbstsignierten Zertifikat vollkommen sicher, solange ich den Schlüssel überprüfen kann. In diesem Fall bietet ein EV-Zertifikat für mich auch im geringsten keinen Schutz mehr. Aber was ist mit anderen Menschen? Ich weiß im Voraus, welchem ​​Schlüssel ich vertrauen soll, aber sie wissen es nicht. Dies ist die Rolle einer Zertifizierungsstelle.

Bei allen öffentlich vertrauenswürdigen Zertifizierungsstellen müssen Sie den Besitz Ihrer Domain überprüfen, bevor Sie ein Zertifikat ausstellen. In diesem Sinne entspricht ein Verisign-Zertifikat im Wert von 2000 USD einem kostenlosen Startcom-Zertifikat. Aber das ist nur die halbe Wahrheit.

Erinnern Sie sich an den merkwürdigen Fall der Mountain America Credit Union? Angreifer konnten sich als Bank ausgeben und ein SSL-Zertifikat von Equifax erhalten, ein offizielles Siegel des ausstellenden Unternehmens, einen ChoicePoint-Indikator, der den Standort (und die vermutete Legitimität) des Unternehmens bestätigt - alles absolut sauber, legitim und ordnungsgemäß ausgestellt. Ihr Geheimnis? Die Bank verwendet den Domainnamen macu.com , während diese Angreifer den Namen hill-america.net verwendeten. Als sie das Zertifikat beantragten, sagten sie NICHT, dass sie eine Bank seien (die rote Fahnen gehisst hätte), sondern errichteten stattdessen eine völlig unschuldig aussehende Website. Es könnte für etwas wie Wanderschuhe oder Mineralwasser oder einen Blog über das Leben in den Bergen gewesen sein. Wer weiß. Sie haben es jedoch geändert, um die Website der Credit Union nach der Ausstellung der Anmeldeinformationen zu duplizieren.

Theoretisch ist dies genau die Art von Angriff, gegen die sich die EV-Zertifizierung schützen soll. Es sollte viel schwieriger sein, ein EV-Zertifikat mit einer falschen Identität oder basierend auf einem nicht existierenden Unternehmen zu erhalten. Wahrscheinlich nicht unmöglich, aber theoretisch schwieriger. Wenn sich herausstellt, dass es sich um einen Betrug handelt, haben Sie zumindest die Adresse des Täters. Sie hoffen also.

Die Sache ist, wenn Sie Vertrauen in großem Umfang verkaufen, ist es schwierig um Ihr Produkt sauber zu halten. Verstöße wie das Fiasko von Mountain America treten trotz aller Überprüfungen und Prüfungen auf, die Sie herbeiführen können, da der Benutzer nach Ausstellung des Zertifikats seine Geschichte ändern kann.

Möglicherweise das wichtigste Sicherheitsmerkmal eines 2000-Dollar-Zertifikats ist der Preis selbst. Es heißt: "Diese Person hat 2000 Dollar für dieses Zertifikat bezahlt". Vermutlich würde sich jemand, der es für das Böse einsetzen will, stattdessen für eine billigere Alternative entscheiden. Es ist ein bisschen albern, aber wahrscheinlich auch richtig.

Hauptsächlich gibt es drei Arten von SSL-Zertifikaten:

(1) SSL-Zertifikate zur Domänenvalidierung

• Es gibt weniger strenges Validierungsverfahren.
• Nur der Name und die Kontaktinformationen des Antragstellers werden mit den Daten überprüft und verifiziert, die bei der Registrierung eingegeben wurden.
• Der legitime Faktor wird nicht überprüft, und daher ist dies der Fall Hervorragend geeignet für Online-Websites oder Unternehmen, die keine sehr sensiblen Daten übertragen oder verarbeiten.
• Sie sind direkt an den Domainnamen gebunden und gewährleisten so die Authentizität der Website. Browser-Warnungen werden jedoch nicht empfohlen.

(2) SSL-Zertifikat für erweiterte Validierung

• Es wurde 2007 gestartet Eines der ersten Protokolle, das die Branchenrichtlinien strikt befolgt.
• Der Zertifizierungsantrag und der Validierungsprozess sind äußerst streng.
• Jeder Unternehmensnachweis wird sorgfältig und genau überprüft.
• Bei Sites, die dieses Protokoll verwenden, können Sie sicherstellen, ob die Site geschützt ist oder nicht, indem Sie das Navigationsfenster des Browsers überprüfen. Es wird grün, wenn die Site sicher ist, und rot, wenn die Gefahr einsetzt.
• Es hilft bei der Aufrechterhaltung eines hohen Sicherheitsstandards und überprüft die Authentizität des Geschäfts.

(3) SSL-Zertifikat zur organisatorischen Validierung

• Die Legitimität des Geschäfts des Antragstellers wird überprüft.
• Es folgt einem strengen Validierungsverfahren und Überprüft praktisch alle Informationen des Unternehmens.
• Dies ist eine hervorragende Option für Online-Unternehmen, die mit äußerst vertraulichen Informationen arbeiten.

/ blockquote>

^{(Quelle) : Buzzle) sup>}

Diese Debatte hat zwei Seiten.

Erstens, wie weit eine Zertifizierungsstelle gehen wird, um sicherzustellen, dass Sie tatsächlich der sind, für den Sie sich ausgeben.

Zweitens, wie viele der Erweiterte Funktionen, die eine Zertifizierungsstelle unterstützt.

Beides ist wichtig ... eine Zertifizierungsstelle, die Ihnen ein Zertifikat mit den neuesten Funktionen gibt, aber nicht überprüft, ob Ihre ID nutzlos ist, ebenso wie eine, die Sie aber gut überprüft Stellen Sie nur ein Zertifikat mit Funktionen aus, die vor 5 Jahren veraltet waren.