免费和付费SSL证书的安全等级

Question

免费或付费的SSL证书是否与来自测试服务(如SSL Server Test by SSL实验室 )的安全性等级有关，还是都取决于服务器的安全配置？

Answer 1

不是的。从安全或密码学的角度来看，免费证书和付费证书绝对没有区别。实际上，大部分安全级别更多地依赖于web服务器配置(允许密码套件等等)，而不是证书的具体内容。

Answer 2

签发那些具有所谓“扩展验证”(EV)支持(某些浏览器显示为“绿色地址栏blurb”)的付费SSL证书确实包括--在某种合理程度上--验证证书的潜在持有者确实是一个商业实体，声称要为将要颁发的证书指定规范名称。

这种核实通常要求商业实体在国家特定(半)官方“黄页”-like登记处登记，并要求该实体的几名执行人员能够通过固定电话号码与其联系。

不过，值得强调的是，这一切都是关于社会问题的。对于X.509证书安全性背后的“数学”而言，EV证书与任何其他证书(甚至是通过运行特定的openssl工具集来自签名、创建)都没有什么区别。

然而，另一方面，还有另一个社会问题:如果证书不仅用于提供加密，而且要将服务“呈现”给最终用户--而公开可用的网络服务器被认为是最好的例子--那么颁发证书的实体可能很重要。原因是用户使用Internet浏览器访问网站，而这些浏览器要么维护自己的受信任根列表(以及一组第2层，可能是3级)证书颁发机构，而且/或访问系统的此类CA列表。因此，如果您生成自己的证书并将其粘贴到您的web服务器上，无论您的证书在数学上多么“好”，用户的浏览器都会发出有关不安全连接的“Big Red”警告:仅仅因为它看到的“已知”CA列表不包括颁发您证书的CA。

TL；

博士

• 付费证书只有在EV类型的情况下才是好的。
• 只有在使用证书所涉及的社会方面，他们才比其他人更好。

哦，当我们正在做的时候，请注意，有时付费证书的提供者会犯可怕的错误，这会导致流行浏览器的CA 从信任列表中删除的证书。