Normalerweise verwende ich selbstsignierte Zertifikate, jetzt brauche ich jedoch ein richtiges Zertifikat zu absolut minimalen Kosten.
Da das Erstellen einer „Zertifizierungsstelle“ makecert
eigentlich nur das Erstellen eines öffentlichen/privaten Schlüsselpaars bedeutet, scheint es ziemlich klar, dass das Erstellen eines öffentlichen/privaten Schlüsselpaars aus einer solchen „Zertifizierungsstelle“ eigentlich nur das Generieren eines zweiten öffentlichen/privaten Schlüsselpaars und das Signieren beider mit dem privaten Schlüssel bedeutet, der der „Zertifizierungsstelle“ gehört. Da die Schlüssel signiert sind, kann jeder überprüfen, ob sie von der von mir erstellten Zertifizierungsstelle stammen, oder wenn Verisign mir das Paar gegeben hat, signiert er es mit einem seiner eigenen privaten Schlüssel, und jeder kann den entsprechenden öffentlichen Schlüssel von Verisign verwenden, um Verisign als Quelle der Schlüssel zu bestätigen.
Vor diesem Hintergrund verstehe ich nicht, warum Verisign oder Godaddy nur Jahrestarife anbieten, wenn ich von ihnen eigentlich nur ein einziges öffentliches/privates Schlüsselpaar möchte, das mit einem ihrer privaten Schlüssel signiert ist.
Offensichtlich verstehe ich etwas falsch. Was ist es? Setzt Verisign seine öffentlichen/privaten Schlüsselpaare regelmäßig außer Dienst, sodass mein von Verisign signiertes Schlüsselpaar „abläuft“ und ich neue brauche?
Bearbeiten: Ich habe erfahren, dass das Zertifikat ein internes Ablaufdatum hat und auch einen internen Wert enthält, der angibt, ob es zum Signieren anderer Zertifikate verwendet werden kann (d. h. zum Signieren anderer als Zertifikate gespeicherter privater/öffentlicher Schlüsselpaare). Kann ich nicht ein paar (oder auch nur ein) nicht signierendes Zertifikat erhalten, das von jemandem wie Verisign signiert wurde und das ich ohne Jahresabonnement zur Authentifizierung/Verschlüsselung verwenden kann?
Antwort1
Ich vermute, dass sie die von ihnen ausgestellten Zertifikate mit einem Ablaufdatum versehen, um im Geschäft zu bleiben.
Wenn Sie eine kostenlose Zertifizierungsstelle ausprobieren möchten, versuchen SieCAcertoderStartCom. Ihre Kunden bestehen jedoch möglicherweise auf der Verwendung einer „bekannteren“ Zertifizierungsstelle wie VeriSign.
Antwort2
Zertifikate müssen Ablaufdaten haben, da Schlüsselverwaltung ein Teil guter Verschlüsselungspraxis ist. Obwohl Ihr privater Schlüssel heute sicher ist, könnte er morgen bei einem Datensicherheitsverstoß offengelegt werden – je länger Sie den Schlüssel verwenden, desto höher ist die Wahrscheinlichkeit, dass er irgendwann kompromittiert wird.
Wenn es ein zeitlich unbegrenztes Zertifikat gäbe, das den kompromittierten Schlüssel spezifiziert, könnte jemand dieses Zertifikat mit dem kompromittierten Schlüssel verwenden, um sich als Sie auszugeben.für immerMit dem Ablaufmechanismus können sie das nur durchziehen, bis das Zertifikat abläuft.
Antwort3
Mit den Jahresgebühren können Sie Ihr Zertifikat jederzeit neu ausstellen und aktualisieren, nachdem Sie den anfänglichen Vorgang abgeschlossen haben. Ihre Zertifikate laufen nicht automatisch ab, wenn Ihr Abonnement abläuft. Beispielsweise haben unsere Zertifikate selbst bei unserem Jahresabonnement eine Gültigkeit von zwei Jahren (und die Stammzertifikate, auf denen sie basieren, haben eher eine Gültigkeit von 10 Jahren). Sie können damit Ihre eigenen Zertifikate signieren, und sie bleiben so lange gültig, wie Sie es angeben, solange sie mit einem zu diesem Zeitpunkt gültigen Zertifikat signiert wurden. Eine erweiterte Zertifikatskettenvalidierung wird meiner Erfahrung nach in Browsern und anderen SSL-Clients selten durchgeführt.
Zertifikatsfirmen lassen Zertifikate ablaufen, teilweise um Sie zu zwingen, mit den Entwicklungen in der SSL-Sicherheit Schritt zu halten (zum Beispiel von 512 Bit auf 2048 oder von EC statt RSA), teilweise um Sie und alle anderen zu schützen, falls eines Ihrer Zertifikate verloren geht oder gespeichert und geknackt wird, lange nachdem Sie denken, dass es verloren ist, teilweise um Sie von Zeit zu Zeit erneut zu überprüfen, falls Sie Ihren Namen ändern, Ihr Geschäft aufgeben oder was auch immer. Das ist Teil ihrer Vertrauenskette. Wenn sie es früh herausfinden, können sie sofort eine CRL ausstellen, aber wenn nicht, laufen Ihre alten Zertifikate natürlich ohne zusätzlichen Aufwand ab.
Und es ist auch eine Einnahmequelle, das ist Geschäft.
Stellen Sie sicher, dass Sie ein Zertifikat zum Signieren des Zertifikats erhalten, wenn Sie Ihre eigene Zertifizierungsstelle sein möchten, und rechnen Sie damit, dass es einige Kopfschmerzen bereiten wird, alle Zertifikate in der Kette zu bündeln, wenn Sie sie verwenden möchten.
Antwort4
Je nach Signaturbehörde kann die Überprüfung sehr umfangreich (und damit teuer für die Behörde) sein. Dies erhöht die Kosten des Zertifikats. Im Allgemeinen variieren die Kosten des Zertifikats je nach durchgeführter Überprüfungsstufe. Neue Technologien ermöglichen eine gewisse Anzeige des Vertrauensgrads durch eine farbige Benachrichtigung in der Adressleiste.
Das Zertifikat der Zertifizierungsstelle läuft normalerweise etwa alle zehn Jahre ab. Ein Teil dieser Zeit wird benötigt, um die Zertifikate im Zertifikatscache des Browsers bereitzustellen. Daher können sie in den ersten ein oder zwei Jahren nicht verwendet werden. In den letzten ein oder zwei Jahren sind sie nicht mehr nützlich, da der Signaturschlüssel abläuft, bevor der signierte Schlüssel abläuft.
Indem die Zertifizierungsstelle Ihren Schlüssel signiert, gibt sie im Wesentlichen an, dass sie dem Inhaber dieses Zertifikats vertraut, sodass Sie ihm auch vertrauen können. Sie sollte dieses Vertrauen regelmäßig überprüfen, was einer der Gründe ist, warum Zertifikate ablaufen.
Wenn CRLs bereitgestellt und überprüft werden, kann die Signaturbehörde mitteilen, dass sie dem Inhaber des Schlüssels nicht mehr vertraut. Dies kann verschiedene Gründe haben: gestohlener Schlüssel, falsch ausgestellter Schlüssel, Schlüssel wird nicht mehr verwendet oder ein anderer Grund. Das Ablaufen des Zertifikats kann dazu genutzt werden, die Größe der CRL-Datenbank zu reduzieren.
Einige Signaturbehörden stellen Zertifikate mit mehrjähriger Gültigkeit aus. Dies ist möglicherweise nur bei Erneuerungszertifikaten möglich.
Sobald Sie Zertifikate verwenden, verpflichten Sie sich, die damit verbundenen Vertrauensbeziehungen aufrechtzuerhalten. Dazu gehört auch die regelmäßige Bereitstellung aktualisierter Zertifikate.