.png)
Обычно я пользовался самоподписанными сертификатами, однако теперь мне нужен настоящий сертификат по минимальной цене.
Поскольку создание "центра сертификации" makecertна самом деле означает просто создание пары открытого/закрытого ключа, кажется совершенно очевидным, что создание пары открытого/закрытого ключа из такого "центра сертификации" на самом деле означает просто генерацию второй пары открытого/закрытого ключа и подписание обоих закрытым ключом, принадлежащим "центру сертификации". Поскольку ключи подписаны, любой может проверить, что они пришли из центра сертификации, который я создал, или, если Verisign предоставил мне пару, они подписывают ее одним из своих собственных закрытых ключей, и любой может использовать соответствующий открытый ключ Verisign для подтверждения Verisign как источника ключей.
Учитывая это, я не понимаю, почему Verisign или Godaddy предлагают тарифы только на годовые планы, когда все, что мне от них нужно, — это одна пара открытого и закрытого ключей, подписанная одним из их закрытых ключей.
Очевидно, я что-то не понимаю, в чем дело? Изымает ли Verisign периодически свои пары открытого/закрытого ключей, чтобы моя подписанная Verisign пара ключей «истекла» и мне нужны были новые?
Редактировать: Я узнал, что сертификат имеет внутреннюю дату истечения срока действия, а также сохраняет внутреннее значение, указывающее, может ли он использоваться для подписи других сертификатов (т. е. для подписи других пар закрытых/открытых ключей, хранящихся в виде сертификатов). Разве я не могу получить несколько (хотя бы один) неподписных сертификатов, подписанных кем-то вроде Verisign, которые я могу использовать для аутентификации/шифрования без годовой подписки?
решение1
Я предполагаю, что они устанавливают срок действия на выдаваемых ими сертификатах, чтобы оставаться на плаву.
Если вы хотите попробовать бесплатный центр сертификации, попробуйтеCAcertилиСтартКом. Однако ваши клиенты могут настаивать на использовании более «известного» центра сертификации, например VeriSign.
решение2
Сертификаты должны иметь срок действия, поскольку частью хорошей практики криптографии является управление ключами. Хотя ваш закрытый ключ сегодня в безопасности, завтра он может быть раскрыт в результате какого-либо нарушения безопасности данных — чем дольше вы продолжаете использовать ключ, тем выше вероятность того, что он в конечном итоге будет скомпрометирован.
Если бы существовал неограниченный по времени сертификат, указывающий на этот скомпрометированный ключ, кто-то мог бы использовать этот сертификат со скомпрометированным ключом, чтобы выдать себя за вас.навсегда. Благодаря механизму истечения срока действия они могут это сделать только до истечения срока действия сертификата.
решение3
Ежегодные сборы позволяют вам перевыпускать и обновлять ваш сертификат в любое время после того, как вы прошли первоначальный процесс. Ваши сертификаты не истекают автоматически, когда истекает срок действия вашей подписки; например, даже с нашей годовой подпиской наши сертификаты имеют двухлетний срок действия (а корневые сертификаты, на которых они основаны, имеют срок действия около 10 лет). Вы можете подписывать свои собственные сертификаты с его помощью, и они будут действительны до тех пор, пока вы скажете, что они должны быть действительными, при условии, что они были подписаны сертификатом, который был действительным на тот момент. По моему опыту, расширенная проверка цепочки сертификатов редко выполняется в браузерах и других клиентах SSL.
Сертифицирующие компании будут прекращать действие сертификатов отчасти для того, чтобы заставить вас идти в ногу с разработками в области безопасности SSL (например, переход с 512 бит на 2048 или на EC вместо RSA), отчасти для того, чтобы защитить вас и всех остальных в случае, если один из ваших сертификатов выйдет из строя или будет сохранен и взломан долгое время после того, как вы думаете, что он исчез, отчасти для того, чтобы время от времени перепроверять вас, если вы смените имя, прекратите деятельность или что-то еще. Это часть их цепочки доверия. Если они узнают об этом заранее, они могут немедленно выпустить CRL, но если нет, ваши старые сертификаты естественным образом истекут без дополнительных усилий.
И это тоже источник дохода, это бизнес.
Обязательно получите сертификат подписи сертификата, если вы хотите стать собственным центром сертификации, и будьте готовы к некоторым проблемам, связанным с объединением всех сертификатов в цепочке, когда вы захотите их использовать.
решение4
В зависимости от подписывающего органа проверка может быть довольно обширной (и, следовательно, дорогой для органа). Это увеличит стоимость сертификата. Как правило, стоимость сертификата будет варьироваться в зависимости от уровня выполненной проверки. Новая технология позволяет отражать некоторую индикацию степени доверия с помощью цветного уведомления в адресной строке.
Сертификат центра сертификации обычно истекает каждые десять лет или около того. Часть этого времени потребуется для развертывания сертификатов в кэше сертификатов браузера, поэтому они могут не использоваться в течение первого года или двух. В течение последнего года или двух они не будут полезны, поскольку срок действия ключа подписи истечет до истечения срока действия подписанного ключа.
Подписывая ваш ключ, центр сертификации по сути говорит, что мы доверяем держателю этого сертификата, поэтому вы тоже можете доверять ему. Они должны периодически проверять это доверие, отсюда и одна из причин истечения срока действия сертификатов.
Если CRL предоставлены и проверены, подписывающий орган может объявить, что он больше не доверяет держателю ключа. Это может произойти по разным причинам: украденный ключ, неправильно выпущенный ключ, ключ больше не используется или по какой-то другой причине. Истечение срока действия сертификата может быть использовано для уменьшения размера базы данных CRL.
Некоторые подписывающие органы выдают многолетние сертификаты. Это может быть доступно только для сертификатов продления.
Как только вы начнете использовать сертификаты, вы будете обязаны поддерживать соответствующие доверительные отношения. Это будет включать в себя периодическое развертывание обновлений сертификатов.