tipos precio gratuito gratis digicert certificados certificado ssl-certificate

ssl certificate - precio - ¿Por qué confiamos en los certificados SSL?



tipos de certificados ssl (9)

¿Por qué? Porque estás pagando para seguir adelante con la reputación de otra persona ... para responder por ti.

Es todo acerca de quién valida tu afirmación de ser tú. A pesar de algunos de los documentales que he visto últimamente y de la recesión, todavía tengo más probabilidades de creer en las corporaciones estadounidenses cuando me confirman su identidad, de lo que soy la mafia rusa. Aunque ambos pueden emitir certificados con la misma facilidad.

La cantidad que paga es básicamente (cuánto les cuesta asegurar esa reputación y / o suprimir cualquier violación de seguridad) + (por mucho que puedan costear el mercado como un% de margen).

Ahora las barreras de entrada son bastante altas, ya que es realmente caro ganarse esa confianza, por lo que no hay mucha competencia. Por lo tanto, es probable que el precio no caiga pronto ... a menos que Sony o GE, etc., decidan jugar.

Un amigo mío me preguntó por qué pagamos tanto por los certificados SSL si todos teóricamente podrían emitir uno. ¿Por qué de hecho? ¿Y cómo juzgamos si el pequeño bloqueo en el navegador es realmente confiable?

Las otras respuestas han explicado el sistema CA. El proyecto de perspectivas apunta a implementar un nuevo enfoque para SSL, donde puede elegir en quién confiar: http://perspectives-project.org/

Los certificados están firmados criptográficamente por algo que se llama una Autoridad de Certificación (CA), y cada navegador tiene una lista de las CA en las que confía implícitamente. Estas CA son entidades que tienen un conjunto de claves criptográficas que se pueden usar para firmar cualquier certificado, a menudo por una tarifa. Cualquier certificado firmado por una CA en la lista de confianza dará un bloqueo a un navegador, ya que se ha demostrado que es "confiable" y pertenece a ese dominio.

Puede autofirmar un certificado, pero el navegador le advertirá que el firmante no es confiable, ya sea mostrando un gran cuadro de error antes de permitirle ingresar o mostrando un ícono de candado roto.

Además, incluso un certificado de confianza dará un error si se usa para el dominio incorrecto o si se modifica para incluir otro dominio. Esto se garantiza porque el certificado incluye los dominios para los que está permitido utilizar, y también tiene una suma de comprobación / huella dactilar criptográfica que garantiza su integridad.

Esto no es 100% seguro en este momento, ya que existe la posibilidad de falsificar certificados de CA que usan MD5, consulte este enlace: http://www.phreedom.org/research/rogue-ca/ . Aunque hay que señalar que esto es bastante difícil, ya que explotaron una debilidad en una CA ya existente, que puede o no haber sido cerrada hasta ahora.

En esencia, confiamos en los certificados tanto como confiamos en que nuestros proveedores de navegadores saben cómo seleccionar CA "apropiadas". Se confía en esas CA solo en virtud de su reputación, ya que un solo paso en teoría sería un golpe muy fuerte para su fiabilidad si se detectara.

Los certificados se basan en una cadena de confianza, y si permitiéramos que alguien sea una autoridad firmante, estaríamos confiando implícitamente en todos. Sin embargo, hoy da un poco de miedo, ya que hay más de 200 llamadas "autoridades confiables" cuyos certificados están incorporados en su navegador.

Hay una CA gratuita que conozco: StartCom . Emiten certificados SSL gratuitos, pero solo se aceptan en Firefox, no en IE. (No estoy seguro acerca de Safari u Opera).

Pagas un certificado para que cuando hagas HTTPS (que debería ser un poco sensible) tus clientes no reciban grandes advertencias y llamen a tu soporte diciendo que los has infectado y al ...

Muy poca seguridad, mucha FUD.

Si tiene la posibilidad de dar a sus clientes su propio certificado directamente, hágalo. Pero es un caso raro.

Porque tenemos que confiar en alguien.

Los certificados SSL de confianza tienen firmas de autoridades confiables. Por ejemplo, VeriSign tiene un acuerdo con Microsoft, que su certificado está integrado en su navegador. Por lo tanto, puede confiar en cada página con un certificado de confianza de VeriSign.

Este gráfico realmente escoge el punto:

  • RA = Autoridad de Registro
  • CA = Autoridad de Certificación
  • VA = Autoridad de Validación

Esquema general: un usuario solicita un certificado con su clave pública en una autoridad de registro (RA). Este último confirma la identidad del usuario ante la autoridad de certificación (CA) que a su vez emite el certificado. El usuario puede firmar digitalmente un contrato utilizando su nuevo certificado. Su identidad es luego verificada por la parte contratante con una autoridad de validación (VA) que nuevamente recibe información sobre certificados emitidos por la autoridad de certificación.

Primero, algunos antecedentes sobre la criptografía de clave pública / privada sólida, en la que SSL se basa en:

Una llave tiene dos partes, la parte privada y la parte pública. La clave pública se puede usar para cifrar material que requiere la clave privada para descifrar. Esto permite el uso de canales de comunicación abiertos para comunicarse de forma segura.

Un aspecto importante de la criptografía de clave pública / privada es que la clave privada se puede usar para firmar digitalmente un mensaje que se puede verificar mediante la clave pública. Esto le da al receptor de un mensaje la capacidad de verificar de manera concreta que el mensaje que recibieron fue enviado por el remitente (el titular de la clave).

La clave para los certificados SSL es que las propias claves de cifrado pueden firmarse digitalmente.

Un "certificado" se compone de un par de claves privadas / públicas, así como datos firmados digitalmente. Cuando alguien compra un certificado SSL, genera una clave privada / pública y envía la clave pública a una Autoridad de Certificación (CA) para que la firme. La CA realiza un nivel adecuado de diligencia debida en el comprador del certificado SSL y firma el certificado con su clave privada. El certificado SSL estará vinculado a un sitio web o conjunto de sitios web en particular y es esencialmente la CA que indica que confían en que el propietario de la clave privada del certificado sea el propietario adecuado de esos sitios web.

Los certificados raíz (claves públicas y otros metadatos) para CA confiables se incluyen de manera predeterminada en los principales navegadores de envío y sistemas operativos (en Windows, escriba "certmgr.msc" en un indicador de ejecución para ver el administrador de certificados). Cuando se conecta a un servidor web utilizando SSL, el servidor le enviará su certificado SSL, incluida la clave pública y otros metadatos, todos firmados por la AC. Su navegador puede verificar la validez del certificado, a través de la firma y los certificados raíz precargados. Esto crea una cadena de confianza entre la CA y el servidor web al que se está conectando.

Si no está utilizando una de las CA aceptadas, las personas recibirán un cuadro de mensaje cuando accedan al sitio hablando de un certificado que no es de confianza. Eso no ayudará a generar tráfico al sitio.

El bloqueo solo significa que el propietario del sitio le mostró a la CA algún tipo de prueba de que él realmente es quien dice ser. Debe juzgar por su cuenta si confía en esa persona / sitio.

Es como un extraño que te muestra una identificación con foto. ¿Confías más en él porque sabes con seguridad que su nombre es John Doe? Probablemente no.

Pero cuando la gente en la que confías te dijo: "John Doe" es un buen tipo. La prueba de que el tipo que está frente a usted realmente ES "John Doe", podría elegir confiar en él también.

Todo el negocio de CA es increíble. He comprado un par de certificados de rapidssl.com, y todas las "pruebas" que solicitaron fueron:

  1. Podría recibir correo al dominio.
  2. Yo podría contestar mi teléfono.

Eso fue todo. Tenga en cuenta, al confiar en los pequeños bloqueos en el navegador.