Noções básicas sobre certificados de segurança (e seus preços)

Noções básicas sobre certificados de segurança (e seus preços)

Normalmente usei certificados autoassinados, mas agora preciso de um certificado adequado com um custo absolutamente mínimo.

Como criar uma "autoridade de certificação" makecertsignifica apenas criar um par de chaves pública/privada, parece bastante claro que criar um par de chaves pública/privada a partir de tal "autoridade de certificação" realmente significa apenas gerar um segundo par de chaves pública/privada e assinando ambos com a chave privada que pertence à "autoridade certificadora". Como as chaves são assinadas, qualquer um pode verificar se vieram da autoridade de certificação que criei ou, se a Verisign me deu o par, eles o assinam com uma de suas próprias chaves privadas, e qualquer pessoa pode usar a chave pública correspondente da Verisign para confirmar a Verisign como a fonte de as chaves.

Diante disso, não entendo por que a Verisign ou a Godaddy só têm taxas para planos anuais, quando tudo o que realmente quero deles é um único par de chaves pública/privada assinado com uma de suas chaves privadas.

Claramente estou entendendo mal alguma coisa, o que é? A Verisign retira seus pares de chaves públicas/privadas periodicamente para que meu par de chaves assinado pela Verisign "expire" e eu precise de novos?

Editar: aprendi que o certificado tem uma data de expiração interna e também mantém um valor interno informando se pode ser usado para assinar outros certificados (ou seja, assinar outros pares de chaves privadas/públicas armazenados como certificados). Não posso obter alguns (mesmo um) certificado sem assinatura assinado por alguém como a Verisign que possa usar para autenticação/criptografia sem uma assinatura anual?

Responder1

Eu suponho que eles colocam uma data de validade nos certificados que emitem, para se manterem no mercado.

Se você quiser experimentar uma autoridade de certificação gratuita, tenteCAcertouStartCom. No entanto, seus clientes podem insistir em usar uma autoridade certificadora mais “conhecida” como a VeriSign.

Responder2

Os certificados devem ter datas de validade, porque parte das boas práticas de criptografia é o gerenciamento de chaves. Embora sua chave privada esteja segura hoje, ela poderá ser divulgada em alguma violação de segurança de dados amanhã - quanto mais tempo você continuar usando a chave, maior será a chance de ela eventualmente ser comprometida.

Se existisse um certificado de tempo ilimitado especificando essa chave comprometida, alguém poderia usar esse certificado com a chave comprometida para fingir ser vocêpara sempre. Com o mecanismo de expiração, eles só poderão fazer isso até que o certificado expire.

Responder3

As taxas anuais permitem reemitir e atualizar seu certificado a qualquer momento, depois de passar pelo processo inicial. Seus certificados não expiram automaticamente quando sua assinatura expira; por exemplo, mesmo com nossa assinatura anual, nossos certificados expiram em dois anos (e os certificados raiz nos quais eles se baseiam duram cerca de 10 anos). Você pode assinar seus próprios certificados com ele, e eles ainda serão válidos desde que você diga que deveriam ser, desde que tenham sido assinados com um certificado válido na época. A validação estendida da cadeia de certificados raramente é realizada em navegadores e outros clientes SSL, na minha experiência.

As empresas de certificados expirarão os certificados, em parte para forçá-lo a acompanhar os desenvolvimentos de segurança SSL (por exemplo, indo de 512 bits para 2048, ou para EC em vez de RSA), em parte para proteger você e todos os outros caso um de seus certificados seja divulgado. ou é salvo e quebrado muito depois de você pensar que desapareceu, em parte para revisá-lo de vez em quando, no caso de você mudar de nome, sair do mercado ou algo assim. Isso faz parte de sua cadeia de confiança. Se descobrirem com antecedência, poderão emitir uma CRL imediatamente, mas se não, seus certificados antigos expirarão naturalmente sem nenhum esforço extra.

E também é uma fonte de receita, isso é negócio.

Certifique-se de obter um certificado de assinatura de certificado se quiser ser sua própria CA e esteja preparado para algumas dores de cabeça ao reunir todos os certificados da cadeia quando for usá-los.

Responder4

Dependendo da autoridade signatária, a verificação pode ser bastante extensa (e, portanto, cara para a autoridade). Isso aumentará o custo do certificado. Geralmente o custo do certificado varia de acordo com o nível de verificação realizada. A nova tecnologia permite que alguma indicação do grau de confiança seja refletida por uma notificação colorida na barra de endereço.

O certificado da autoridade certificadora normalmente expira a cada dez anos ou mais. Parte desse tempo será necessário para que os certificados sejam implantados no cache de certificados do navegador, portanto, eles não poderão ser usados ​​durante o primeiro ou dois anos. Nos últimos dois anos, eles não serão úteis, pois a chave de assinatura expirará antes que a chave assinada expire.

Ao assinar sua chave, a autoridade certificadora está essencialmente dizendo que confiamos no titular deste certificado, para que você também possa confiar nele. Eles devem verificar periodicamente essa confiança, daí um dos motivos pelos quais os certificados expiram.

As CRLs, se fornecidas e verificadas, permitem que a autoridade signatária anuncie que não confia mais no detentor da chave. Isso pode ocorrer por vários motivos; chave roubada, chave emitida inadequadamente, chave que não é mais usada ou por algum outro motivo. A expiração do certificado pode ser usada para reduzir o tamanho do banco de dados CRL.

Algumas autoridades signatárias emitirão certificados plurianuais. Isso pode estar disponível apenas para certificados de renovação.

Depois de começar a usar certificados, você estará se comprometendo a manter as relações de confiança envolvidas. Isso incluirá a implantação de certificados de atualização periodicamente.

informação relacionada