Estoy desarrollando un software que se implementará mediante clickonce (en el sitio web foo.com), y que se conecte a mi servidor utilizando WCF con un cifrado de transporte

Así que necesito un certificado SSL, en la que :

  • Identificar mi foo.com sitio web realmente ha de ser mi sitio web
  • Identificar el exe me implementar mediante clickonce como ser genuino
  • Identificar mi servidor de aplicaciones que realmente ha de ser mi servidor de aplicaciones.

También quiero mi certificado SSL firmado por una autoridad conocida por el público (ie, firefox o windows no preguntar al usuario para instalar el certificado de entidad de primera !)

Lo certificado SSL compraría usted?

He navegado por el sitio web de Verisign, el «Sitio Seguro EV» certificado de los costos de 1150€ al año (el «Pro» versión parece útil sólo para compatibilidad con navegadores antiguos)

InformationsquelleAutor Brann | 2009-02-02

2 Comentarios

  1. 34

    Suena como que usted está buscando dos tipos de certificados:

    1 – Certificado SSL para la autenticación de su sitio web/servidor de aplicaciones.

    2 – Certificado de Firma de Código para la integridad y autenticación de los exe de entregar.

    Normalmente esas son dos certificados diferentes, con dos certificados diferentes perfiles. Al menos, usted necesita un certificado con dos diferentes usos de clave o de clave extendida usos.

    Un par de pensamientos en ningún orden específico:

    • Comprobar su objetivo navegadores, cada uno tiene un sistema preconfigurado de certificados raíz – esas son las más ampliamente reconocidas público certificado fuentes. Probablemente me echa tanto a Firefox e internet explorer. Proveedores de certificados conoce a mí como grandes nombres son – Versign, GeoTrust, RSA, Thawte, Confiar. Pero también hay GoDaddy y muchos otros. Nada de lo que viene en el navegador como un Certificado Raíz de Confianza, que le permiten conectar a sus usuarios sin necesidad de greif.

    • Sugiero buscar en Google para «certificado de firma de código» y «certificado SSL».

    • Cómo configurar su sitio va a determinar si es o no su sitio web es validado o el servidor de autenticación es validado. Si el certificado se almacena en el servidor de aplicaciones, a continuación, el usuario está recibiendo el cifrado SSL de todo el camino hasta el servidor. Pero muchos de los sitios de poner el certificado SSL está un poco más adelante – como en un servidor de seguridad y, a continuación, la etapa de una colección de aplicaciones servidores detrás de él. No veo un fallo de seguridad en que, mientras la red está configurado cuidadosamente. Para los usuarios externos, ambas configuraciones tienen el mismo aspecto – que va a obtener el bloqueo en sus navegadores y un certificado que les dice que http://www.foo.com está ofreciendo es credenciales.

    Estoy viendo bastante grandes ofertas para los Certificados SSL:
    – GoDaddy – $12.99
    – Register.com – $14.99

    Pero que no son necesariamente de firma de código certifiates. Por ejemplo, mientras que GoDaddy SSL Cert es de $12.99, sus certificados de firma de código son de $199.99! Eso es parte de muchos proveedores de certificados de modelos de negocio – atraerlo con hoteles de Certificados SSL, y te hacen pagar por la firma de código. Un caso podría ser el hecho de que los certificados de firma de código son relativamente más altos de responsabilidad. Pero también… tienen que subsidiar a los hoteles de los certificados SSL de alguna manera.

    Teóricamente, debería ser posible hacer un certificado que hace la firma de código y SSL, pero no estoy seguro de que quieres esto. Si algo llegara a suceder, sería agradable ser capaz de aislar las dos funciones. También, estoy bastante seguro de que tendría que llamar a los proveedores de certificados y pregunte si ellos hicieron esto, y si no, tenerlos es probable que subir el precio bastante alto.

    Tan lejos como vendedor, las cosas a tener en cuenta:

    • La tecnología es casi todo lo mismo. En estos días, el objetivo para un mínimo de claves de 128 bits, probablemente me lo golpee hasta 256, pero estoy paranoico.
    • Más allá de navegador acceptabiliy, la única razón para pagar más sería el reconocimiento del nombre. Entre los paranoicos de la seguridad wonks, me gustaría esperar RSA, Thawte, Verisign y GeoTrust tener muy buena reputación. Probablemente Confiar, también. Esto probablemente sólo importa si usted está tratando con una seguridad centrada en el producto. Creo que el usuario medio no va a ser tan consciente.
    • De seguridad geek perspectiva – eres tan fuerte como la seguridad de su Raíz CA (Autoridad de certificación). Para los realmente paranoico, lo que hay que hacer es profundizar en el material de fondo de cómo la empresa celebra su raíz y de la emisión de CAs, ¿cómo son físicamente securited? seguridad de la red? el personal de control de acceso? También – ¿tienen públicas Crl (Listas de Revocación de Certificados), ¿cómo se puede conseguir un certificado revocado? Ofrecen OCSP (Online Certificate Status Protocol)? Cómo hacer el check out certificado de solicitantes para asegurarse de que están dando el derecho cert a la persona adecuada? … Todo esto es muy importante si usted está ofreciendo algo que debe ser muy seguro. Cosas como registros médicos, financieros, gestión de aplicaciones, información de impuestos, etc deben ser protegidos. La mayoría de las aplicaciones web no son de alto riesgo y, probablemente, no requieren este nivel de escrutinio.

    La última bala – si usted cava en la Verisigns de el mundo – el muy caro cert – es probable que vea el valor. Tienen una enorme infraestructura y la seguridad de sus CAs muy en serio. Yo no estoy tan seguro acerca de la super-barato de servicios de hosting. Dicho esto, si su riesgo es bajo, de US$300 para un certificado SSL no tiene mucho sentido en comparación a US$12.99!!

    • La «barra verde» es lo que realmente importa. Hacer esas ofertas de vuelos baratos a dar una barra de color verde?
    • La barra verde no es una relación 1:1 con el proveedor de servicios. Puede ser dependiente de la configuración del navegador, la configuración de la red, la exactitud de su solicitud de certificado de papeleo, y la diligencia con la que gestionar su PKI.
    • De los navegadores mostrará la ‘Barra Verde’ al detectar que un sitio es el uso de un certificado SSL con Validación Extendida cert – lista de navegadores con capturas de pantalla de cómo se muestran Estándar vs validación Extendida aquí: expeditedssl.com/pages/…
  2. 9

    Así que para sitio web /servidores de aplicaciones que usted necesita un certificado SSL. Usted no necesita un certificado EV. Yo he utilizado los de QuickSSL para esto, ya que a diferencia de algunos de los otros hoteles de proveedores de certificados que no requieren la instalación de un certificado intermedio en el servidor, que es un no-uno para mí.

    Para la firma de las aplicaciones que un tipo diferente de certificado del todo (tipo de, es todavía un certificado X509, pero a la que utiliza para su sitio web no es el que usted puede usar para iniciar sesión en una aplicación). Usted necesita un certificado de firma authenticode de la talla de Verisign o Globalsign. Estos son de una magnitud más caro que un viejo y simple del certificado SSL y que requieren para ser una sociedad constituida y producir los documentos.

    • el código será descargado (al menos la primera vez) el uso de un navegador, por lo que necesito el EV, de manera que el usuario sabe que en realidad la descarga de un archivo desde un sitio web de confianza, yo no?
    • Tú No. Si todo lo que usted quiere es que el instalador para mostrar quién es, y que no ha sido manipulado, entonces usted necesita un certificado de firma de código. Usted incluso no necesita un certificado en foo.com para que el código de la firma mostrará los detalles de su empresa.

Dejar respuesta

Please enter your comment!
Please enter your name here