从不知名的一方购买SSL证书的风险

Question

假设我知道一个人正在以非常低的价格出售一份SSL证书，假设他们会为我生成一个真实有效的证书，因为我需要向他们提交我的CSR，并且他们通过了CA，从技术上来说，从他们那里购买证书有什么风险吗？

第二个问题是:如果有证书，我有什么办法可以知道是谁买的证书？(除要求核证机关外)

更新:我的意思是经销商以非常便宜的价格销售着众所周知的SSL (Comodo正电SSL)，例如比Namec堆这样的经销商高出10-20%，但是我需要提交CSR并从他们那里购买，而不是Comodo，所以我需要知道风险。

Answer 1

不存在泄露私钥的风险，因为您只发送包含公共密钥的CSR，而不发送私钥。但是使用CA实际上是信任委托，因为人们信任您的证书，因为他们(或浏览器)信任签署证书的CA。一旦他们注意到CA不再值得信任(比如2011年被黑客入侵后的DigiNotar )，他们就会取消信任，因此他们也不再信任CA颁发的任何证书--这直接影响到您。

如果CA本身是可信的，但经销商只是便宜，我不会太担心。经销商通常从CA那里得到巨大的回扣，因此，如果他们的其他成本(如营销)很小，他们就可以提供便宜的价格。

您最好检查一下卖方是否对您现在不需要的服务有很高的成本，但是可能需要稍后的证书更新或撤销。这就是所谓的买进，你必须留意这种策略，几乎在你购物的任何地方。

Answer 2

使用看起来很诡异的CA的风险并不在证书注册过程中:只要您自己生成密钥对，并且只将证书请求发送给CA (该CA只包含公钥)并接收原始证书(而不是PKCS#12/PFX存档文件)，那么您的私钥就只属于您了。

然而，风险在于信任。为了使您的证书有用，无论您向谁展示它(例如客户机Web浏览器)，都必须信任CA --否则，您的证书将对您毫无益处。如果他们信任CA，那么他们信任CA可能产生的任何证书。从技术上讲，这不是您的问题，而是客户的问题；但是，如果CA看起来真的很便宜，那么通过关联，您也会看起来非常便宜。这可能不是您想要投射的图像。

通过要求浏览器显示“证书链”(只需单击“挂锁图标”)，客户端可以很容易地知道任何证书的来源。

Answer 3

关于转卖商的事。

1. CA通过转售商以便宜的价格销售低成本证书是相当普遍的做法，但在自己的网站上以更高的价格出售同样的证书。这一事实本身并不令人关切。当他们通过经销商进行销售时，他们的成本就降低了。此外，他们依靠他们的经销商网络来推广他们的产品。
2. 转售者处理计费和支持的各个方面，但是他们无法访问CA的根私钥，并且无法在自己的机器上生成证书。证书仍然是在CA的机器上生成的，按照他们自己的安全和信息处理程序，并且仍然必须满足他们证明身份等的要求。事实上，分销商并没有对安全的任何方面有太多的控制，并把这些全部交给CA。因此，您收到的最终产品的质量和安全性将与直接从CA购买相同。

从不知名的公司购买时要注意的事情

1. 他们是否提供体面的客户支持？他们转售产品的CA可能不会直接为您提供支持；在大多数情况下，这是由经销商处理的。
2. 如果你需要撤销证书，他们会收费吗？费用很高吗？更新的成本在大多数情况下并不是一个问题，因为如果你愿意的话，你可以自由地和其他人续约。没有任何系统阻止您从不同的提供程序获得相同域的证书。