23

clickonce (web サイト foo.com) を使用して展開され、暗号化されたトランスポートで WCF を使用してサーバーに接続するソフトウェアを開発しています。

したがって、次のようなSSL証明書が必要です。

  • 私の foo.com ウェブサイトが本当に私のウェブサイトであることを特定する
  • clickonce を使用してデプロイした exe を正規のものとして識別します
  • 私のアプリケーション サーバーが実際に私のアプリケーション サーバーであることを確認します。

また、自分の SSL 証明書が一般に知られている機関によって署名されることを望んでいます (つまり、firefox や Windows は、最初に機関の証明書をインストールするようにユーザーに要求しません!)

どの SSL 証明書を購入しますか?

Verisign の Web サイトを閲覧しました。「Secure Site EV」証明書は年間 1150 ユーロです (「Pro」バージョンは、古いブラウザーとの互換性のためにのみ役立つようです)。

4

2 に答える 2

34

2 種類の証明書を探しているようです。

1 - SSL 証明書 - ウェブサイト/アプリケーション サーバーの認証用。

2 - コード署名証明書 - 提供する exe の整合性/認証用。

通常、これらは 2 つの異なる証明書プロファイルを持つ 2 つの異なる証明書です。少なくとも、2 つの異なるキー使用法または拡張キー使用法を持つ 1 つの証明書が必要です。

特定の順序ではないいくつかの考え:

  • 対象となるブラウザーを確認してください。それぞれに事前構成済みのルート証明書のセットが含まれている必要があります。これらは、最も広く認識されている公開証明書のソースです。おそらくFirefoxとIEの両方をチェックするでしょう。私が知っている有名な証明書ベンダーは、Versign、GeoTrust、RSA、Thawte、Entrust です。しかし、GoDaddy や他の多くのサービスもあります。信頼されたルート証明書として提供されるブラウザーに含まれるものはすべて、余計な手間をかけずにユーザーに接続できます。

  • 「コード署名証明書」と「SSL証明書」の両方についてグーグルをお勧めします。

  • サイトをどのように構成するかによって、Web サイトが検証されるかどうか、または認証サーバーが検証されるかどうかが決まります。証明書がアプリ サーバーに保存されている場合、ユーザーはサーバーまで SSL 暗号化を取得しています。しかし、多くのサイトでは、ファイアウォールのように SSL 証明書を少し前に配置し、その背後に一連のアプリ サーバーを配置しています。ネットワークが慎重に構成されている限り、セキュリティ上の欠陥は見られません。外部ユーザーには、どちらの構成も同じように見えます。ブラウザーのロックと、www.foo.com がその資格情報を提供していることを示す証明書が取得されます。

私は SSL 証明書のかなりお得な情報を見ています: - GoDaddy - $12.99 - Register.com - $14.99

しかし、それらは必ずしもコード署名証明書ではありません。たとえば、GoDaddy の SSL 証明書は 12.99 ドルですが、コード署名証明書は199.99 ドルです! これは、多くの証明書ベンダーのビジネス モデルの一部です。安価な SSL 証明書で誘い込み、コード署名にお金を払わせます。コード署名証明書は比較的責任が大きいというケースが考えられます。しかしまた...彼らは何とかして安価なSSL証明書を補助しなければなりません.

理論的には、コード署名と SSL の両方を行う証明書を作成できるはずですが、それが必要かどうかはわかりません。何かあった場合は、2 つの機能を分離できるとよいでしょう。また、証明書ベンダーに電話して、これを行ったかどうかを確認する必要があると確信しています。そうでない場合は、価格が非常に高くなる可能性があります。

ベンダーに関する考慮事項:

  • 技術はほとんど同じです。最近では、最低でも 128 ビットの鍵を目指しています。おそらく 256 まで上げたいと思いますが、偏執的です。
  • ブラウザーの許容範囲を超えて、より多くの料金を支払う唯一の理由は、名前の認識です。偏執的なセキュリティ専門家の中でも、RSA、Thawte、Verisign、GeoTrust は非常に評判が良いと思います。おそらくエントラストも。これはおそらく、セキュリティ重視の製品を扱っている場合にのみ問題になります。平均的なユーザーはそれほど意識していないと思います。
  • セキュリティ オタクの観点からは、ルート CA (認証局) のセキュリティと同じくらい安全です。本当に偏執狂的な人は、会社がルート CA と発行 CA をどのようにホストしているか、それらが物理的にどのように保護されているかについての背景資料を掘り下げることをお勧めします。ネットワークセキュリティー?人事アクセス制御?また、公開 CRL (証明書失効リスト) はありますか?どのように証明書を失効させますか? OCSP (Online Certificate Status Protocol) を提供していますか? 証明書の要求者をチェックアウトして、適切な証明書を適切な人に与えていることを確認するにはどうすればよいでしょうか? ...非常に安全でなければならないものを提供している場合、これらすべてが本当に重要です。医療記録、財務管理アプリケーション、税務情報などは高度に保護する必要があります。ほとんどの Web アプリは「

その最後の箇条書きについて - 世界の Verisigns - 非常に高価な証明書 - を掘り下げると、その価値がわかるでしょう。彼らは大規模なインフラストラクチャを持ち、CA のセキュリティを非常に真剣に考えています。超格安のホスティング サービスについてはよくわかりません。とはいえ、リスクが低い場合、SSL 証明書の 300 米ドルは 12.99 米ドルに比べてあまり意味がありません!!

于 2009-02-02T16:07:27.257 に答える
9

そのため、Web サイト/アプリケーション サーバーには SSL 証明書が必要です。EV 証明書は必要ありません。他の安価な証明書プロバイダーの一部とは異なり、サーバーに中間証明書をインストールする必要がないため、これには QuickSSL のものを使用しました。

まったく異なる種類の証明書であるアプリケーションに署名する場合 (X509 証明書のままですが、Web サイトに使用する証明書は、アプリケーションの署名に使用できる証明書ではありません)。VerisignGlobalsignなどの認証コード署名証明書が必要です。これらは、普通の古い SSL 証明書よりもはるかに高価であり、法人化された会社であり、それらのドキュメントを作成する必要があります。

于 2009-02-02T15:02:16.483 に答える