que - comprar certificado ssl
¿Qué certificado SSL necesito? (2)
Estoy desarrollando un software que se implementará con clickonce (en el sitio web foo.com) y que luego se conectará a mi servidor utilizando WCF con un medio de transporte cifrado.
Entonces necesito un certificado SSL que:
- Identificar mi sitio web foo.com realmente ha sido mi sitio web
- Identifique el exe que implemente usando clickonce como genuino
- Identifique que mi servidor de aplicaciones realmente es mi servidor de aplicaciones.
También quiero que mi certificado SSL sea firmado por una autoridad conocida por el público (es decir, Firefox o Windows no le pedirán al usuario que instale primero el certificado de la autoridad).
¿Qué certificado SSL comprarías?
He navegado por el sitio web de Verisign, el certificado "Secure Site EV" cuesta 1150 € al año (la versión "Pro" parece útil solo por compatibilidad con navegadores más antiguos)
Parece que estás buscando dos tipos diferentes de certificados:
1 - Certificado SSL - para la autenticación de su sitio web / servidor de aplicaciones.
2 - Certificado de firma de código: para la integridad / autenticación del exe que entrega.
Normalmente, esos son dos certificados diferentes, con dos perfiles de certificado diferentes. Por lo menos, necesita un certificado con dos usos clave diferentes o usos de claves extendidas.
Algunos pensamientos en un orden no específico:
Compruebe sus navegadores dirigidos, cada uno de ellos debe tener un conjunto de certificados raíz preconfigurados, que son las fuentes de certificados públicos más ampliamente reconocidas. Probablemente verifique tanto Firefox como IE. Los proveedores de certificados conocidos por mí como grandes nombres son: Versign, GeoTrust, RSA, Thawte, Entrust. Pero también está GoDaddy y muchos otros. Todo lo que entregue el navegador entregado como Certificado de raíz de confianza le permitirá conectarse con sus usuarios sin greif adicionales.
Sugiero Google para el "certificado de firma de código" y el "certificado SSL".
La forma en que configure su sitio determinará si su sitio web está validado o si su servidor de autenticación está validado. Si el certificado se almacena en el servidor de aplicaciones, entonces su usuario obtendrá el cifrado SSL hasta llegar al servidor. Pero muchos sitios ponen el certificado SSL un poco más adelante, como en un firewall, y luego crean una colección de servidores de aplicaciones detrás de él. No veo un defecto de seguridad en eso, siempre y cuando la red esté cuidadosamente configurada. Para los usuarios externos, ambas configuraciones tendrán el mismo aspecto: obtendrán el bloqueo en sus navegadores y un certificado que les dirá que www.foo.com ofrece sus credenciales.
Estoy viendo grandes ofertas para certificados SSL: - GoDaddy - $ 12.99 - Register.com - $ 14.99
Pero no son necesariamente certificados de firma de código . Por ejemplo, mientras que el Certificado SSL de GoDaddy es de $ 12.99, ¡sus certificados de firma de código cuestan $ 199.99! Esto forma parte de muchos modelos comerciales de proveedores de certificados: atrae a los SSL con certificados económicos y paga por la firma de códigos. Se podría argumentar que los certificados de firma de código tienen una responsabilidad relativamente mayor. Pero también ... tienen que subsidiar los certificados SSL baratos de alguna manera.
Teóricamente, debería ser posible crear un certificado que haga tanto la firma del código como SSL, pero no estoy seguro de que quiera eso. Si algo sucediera, sería bueno poder aislar las dos funciones. Además, estoy bastante seguro de que tendrías que llamar a los proveedores de certificados y preguntarles si lo hicieron, y si no lo hacen, hacer que lo hagan probablemente suba el precio bastante alto.
En cuanto a vendedor, cosas a considerar:
- La tecnología es prácticamente la misma. En estos días, apunte a un mínimo de claves de 128 bits, probablemente subiría a 256, pero estoy paranoico.
- Más allá de la aceptabilidad del navegador, la única razón para pagar más sería el reconocimiento del nombre. Entre los expertos en seguridad paranoica, esperaría que RSA, Thawte, Verisign y GeoTrust tengan muy buena reputación. Probablemente EnTrust, también. Esto probablemente solo importe si está tratando con un producto enfocado en la seguridad. Creo que su usuario promedio no será tan consciente.
- Desde la perspectiva de los geeks de seguridad: solo eres tan seguro como la seguridad de tu Root CA (Certificate Authority). Para los verdaderamente paranoicos, lo que hay que hacer es indagar en el material de fondo sobre cómo la compañía aloja su raíz y cómo emitir CA, ¿cómo se aseguran físicamente? ¿Seguridad de la red? control de acceso de personal? Además, ¿tienen CRL públicas (listas de revocación de certificados)? ¿Cómo se revoca un certificado? ¿Ofrecen OCSP (Protocolo de estado de certificado en línea)? ¿Cómo revisan los solicitantes de certificados para asegurarse de que están entregando el certificado correcto a la persona adecuada? ... Todo esto realmente importa si estás ofreciendo algo que debe ser altamente seguro. Cosas como registros médicos, aplicaciones de gestión financiera, información fiscal, etc. deben estar altamente protegidas. La mayoría de las aplicaciones web no son de alto riesgo y probablemente no requieran este grado de escrutinio.
En la última viñeta, si exploras los verisignos del mundo, los certificados muy caros, es probable que veas el valor. Tienen una infraestructura masiva y toman muy en serio la seguridad de sus CA. No estoy tan seguro de los servicios de alojamiento súper baratos. Dicho esto, si su riesgo es bajo, ¡US $ 300 por un Certificado SSL no tiene mucho sentido comparado con US $ 12.99!
Por lo tanto, para los servidores de sitios web / aplicaciones necesita un certificado SSL. No necesita un certificado EV. He usado algunos de QuickSSL para esto, ya que a diferencia de otros proveedores de certificados baratos, no requieren la instalación de un certificado intermedio en el servidor; eso no es nada para mí.
Para firmar aplicaciones que son un tipo diferente de certificado en conjunto (más o menos, sigue siendo un certificado X509, pero el que usa para su sitio web no es uno que pueda usar para firmar una aplicación). Necesita un certificado de firma autenticode de la talla de Verisign o Globalsign . Estas son una magnitud más costosa que un simple certificado SSL antiguo y requieren que seas una compañía incorporada y produzcas esos documentos.