Parametry certyfikatów

Opublikowany
przez
Marcin
, 31.05.2008
w Techniczne
.

Mam w planach opublikowanie w najbliższej przyszłości przewodnika opisującego w jaki sposób wybrać najlepszy certyfikat SSL (najlepszy w określonych zastosowaniach). Zanim jednak taki tekst będzie się mógł pojawić, niezbędne jest omówienie przynajmniej kilku parametrów (cech) certyfikatów SSL. Warto zwrócić na nie uwagę wybierając “dokument”, który będzie wpływał na wiarygodność naszego serwera czy całego e-biznesu.

Jednocześnie postaram się nie wnikać zbyt głęboko w szczegóły techniczne (w jaki sposób działa kryptografia asymetryczna i czym rózni się od symetrycznej - na razie odsyłam do Wikipedii).

Parametry techniczne:

  • Siła szyfrowania (SSL encryption strength) — najczęściej wystawcy określają ją jako 128/256 bitów, w zależności od możliwości przeglądarki użytkownika. Występują niewielkie różnice wśród różnych certyfikatów. Generalnie im więcej bitów tym lepiej, ponieważ trudniej jest podsłuchać transmisję danych zabezpieczoną takim certyfikatem.
  • Ochrona dla jednej lub wielu domen (Domains) — certyfikat SSL wystawiany jest dla konkretnej domeny (np. www.certi.pl), która jest “zaszyta” w certyfikacie. Istnieje jednak możliwość, by certyfikat został wystawiony dla wszystkich subdomen w konkretnej domenie, a więc przyjmie np. postać *.certi.pl i będzie chronił adresy www.certi.pl, sklep.certi.pl, blog.certi.pl (ale już nie certi.pl, która jest pozbawiona członu subdomeny). Certyfikat chroniący wiele subdomen jest certyfikatem typu Wildcard. Nie wszystkie certyfikaty mają swoje odpowiedniki wildcard.
  • Wystawca głównego certyfikatu (Certificate Root) — certyfikat podpisany jest przy pomocy… certyfikatu. Przeglądarka internetowa (i każdy inny program i urządzenie) musi posiadać wbudowaną listę zaufanych certyfikatów głównych (Certificate Root). Listy wbudowane w przeglądarki są zmieniane niezwykle rzadko. Od tego czy certyfikat wystawcy jest traktowany jako zaufany zależy czy przeglądarka zaufa certyfikatowi SSL czy też wyświetli okno z ostrzeżeniem. Dlatego też krytyczne jest wybranie firmy, która posiada Certificate Root znajdujący się w większości popularnych przeglądarek.
  • Rozpoznawalność w przeglądarkach (Ubiquity) — wynika bezpośrenio z tego czy Certificate Root znajduje się na liście zaufanych certyfikatów “zaszytej” w przeglądarce
  • Rozpoznawalność w urządzeniach mobilnych (Mobile Device Support) — jest zwykle mniejsza niż w przypadku popularnych przeglądarek internetowych. Wynika to przede wszystkim z zaszłości historycznych. Większość certyfikatów SSL nie jest poprawnie rozpoznawana w PDA, smartphone’ach i telefonach komórkowych. Jeśli serwis ma być wykorzystywany przez użytkowników posiadających takie urządzenia, konieczny jest zakup droższego certyfikatu, na przykład GeoTrust QuickSSL Premium.

Parametry “organizacyjne”:

  • Maksymalny czas ważności (Multiyear) — na ile lat wystawiany jest certyfikat. Ma to znaczenie czysto organizacyjne — dłuższa ważność to mniej czynności administracyjnych przy instalacji certyfikatu. Dodatkowo certyfikaty o dłuższym czasie ważności są zwykle tańsze niż gdyby odnawiać je co roku. Większość certyfikatów można kupić na 1-5 lat.
  • Szybkość wystawienia (Issuance Speed) — ile czasu zajmuje wystawienie certyfikatu. Najczęściej certyfikaty są wydawane albo w ciągu kilkunastu minut - kilku godzin (automatyczna weryfikacja) lub w ciągu kilku dni roboczych (weryfikacja ręczna).
  • Metoda weryfikacji (Authentication Method) — wystawienie certyfikatu wymaga weryfikacji czy wniosek złożyła uprawniona osoba (właściciel domeny). Stosowane są obecnie dwie metody weryfikacji:
    • automatyczna polega najczęściej na wysłaniu przez wystawcę certyfikatu e-maila na jeden z ustalonych adresów w domenie (np. admin@DOMENA-KLIENTA.PL), czasami uzupełnione o zautomatyzowany kontakt telefoniczny (niespotykane w Polsce).
    • weryfikacja ręczna stosowana jest przy droższych certyfikatach i polega na sprawdzeniu danych firmy i uprawnień do domeny na podstawie przesłanych dokumentów (wymagane jest ich przetłumaczenie na język angielski). Oczywiście ręczna weryfikacja trwa znacznie dłużej niż automatyczna. Najtańsze certyfikaty wystawiane są zwykle na podstawie automatycznej weryfikacji, a te bardziej prestiżowe — wyłącznie po przeprowadzeniu ręcznego sprawdzenia dokumentów.
  • Kwota gwarancyjna (Warranty) — maksymalne odszkodowanie, które wystawca certyfikatu zobowiązuje się wypłacić użytkownikowi certyfikatu lub jego klientom, jeśli poniosą oni straty, których winny jest wystawca. Szczegóły zwykle określa umowa/regulamin dostępny na stronie wystawcy certyfikatu.
  • Wsparcie (Support) — pomoc oferowana przez wystawcę certyfikatu. Najczęściej dostępna przez e-mail lub telefon (w języku angielskim). Wsparcie w języku polskim jest świadczone na przykład przez naszą firmę.
  • Darmowe, ponowne wystawienie certyfikatu (Free Reissue Period) — umożliwia uzyskanie nowego certyfikatu (dla tej samej nazwy domeny, na pozostały okres ważności) w przypadku utraty klucza lub certyfikatu. Jest to standardowa opcja dostępna w droższych certyfikatach. Przydatne szczególnie przy certyfikatach o dłuższym okresie ważności, kiedy prawdopodobieństwo na przykład uszkodzenia pliku zawierającego certyfikat jest większe.
  • Możliwość zwrotu certyfikatu (Refund policy) — określa czy wystawca jest gotowy przyjąć wystawiony certyfikat SSL i oddać klientowi pieniądze. Najczęściej okres ten wynosi 7 dni i jest pewnego rodzaju “gwarancją rozruchową”, która ułatwia sprawdzenie czy certyfikat będzie poprawnie działał na określonym urządzeniu (np. routerze) czy oprogramowaniu (np. serwerze pocztowym)

Parametry wpływające na wiarygodność:

  • Pieczęć (Seal) — graficzny element, który można umieścić na stronie WWW chronionej przez certyfikat i który jest swego rodzaju “pieczęcią autentyczności”. Pieczęci można podzielić przede wszystkim na statyczne (np. pieczęć RapidSSL):
    Pieczęć certyfikatu RapidSSL

    i dynamiczne (zawierające aktualną datę i czas oraz nazwę właściciela domeny, np. pieczęć GeoTrust True BusinessID):
    Pieczęć certyfikatu GeoTrust True BusinessID

  • Jakość weryfikacji (Fully-Authenticated/Domain-Authenticated) — w zależności od metody weryfikacji (automatyczna lub ręczna), możliwe jest sprawdzenie jednej z dwóch informacji:
    • wyłącznie faktu czy składający wniosek o wystawienie certyfikatu ma kontrolę nad domeną (weryfikacja automatyczna)
    • danych prawdziwego właściciela domeny (weryfikacja ręczna, wymagająca przesłania dokumentów)

    Jakość przeprowadzonej weryfikacji znajduje swoje odbicie w zawartości certyfikatu. Prostsza uniemożliwia umieszczenie danych o nazwie firmy i jej adresie w certyfikacie. Automatycznie przekłada się to na wiarygodność. Temat ten zostanie dodatkowo opisany w jednym z kolejnych postów.

4 odpowiedzi na „Parametry certyfikatów”

Feed for this Entry Trackback Address
  1. 1 Janusz
    17.09.2008 at 15:14

    Wreszcie znalazłem fajnie zestawione kryteria oceniania certyfikatów SSL. Dzięki.

    ps. jak tam przewodnik ?

  2. 2 Marcin
    17.09.2008 at 15:41

    Cieszę się, że tekst jest przydatny.

    Prace nad przewodnikiem trochę się opóźniły, ale w najbliższym czasie przebudowana zostanie strona http://certi.pl/ i tam pojawi się poradnik jakie certyfikaty najbardziej nadają się do określonych zastosowań (serwer poczty, forum, sklep internetowy, itd.).

  3. 3 Janusz
    17.09.2008 at 16:39

    mam jeszcze małe pytanie. Czy dla Klientów sklepu internetowego (biorąc pod uwagę bezpieczeństwo transakcji) różnica między Rapid SSL a QuickSSL oraz QuickSSL Premium jest duża ?

  4. 4 Marcin
    17.09.2008 at 17:51

    Wszystkie trzy certyfikaty: RapidSSL, QuickSSL oraz QuickSSL Premium zapewniają taką samą siłę szyfrowania (do 256 bitów) oraz sposób weryfikacji serwisu (automatyczna weryfikacja, bez potrzeby przesyłania dokumentów firmy). Pod tym względem nie ma miedzy nimi żadnej różnicy.

    RapidSSL i QuickSSL to najprostsze certyfikaty i głównym ich przeznaczeniem jest instalacja na serwerach pocztowych, webmailach, routerach (zestawianie sesji VPN po SSLu) czy w sieciach lokalnych (w intranecie).

    Dopiero QuickSSL Premium oferuje coś więcej zarówno z punktu widzenia użytkownika serwisu jak i właściciela serwisu internetowego.

    1. Zalety QuickSSL Premium z punktu widzenia klienta serwisu:
    - certyfikat QuickSSL Premium jest poprawnie obsługiwany przez urządzenia mobilne (telefony komórkowe, PDA)

    - certyfikat QuickSSL Premium umożliwia umieszczenie na stronie dynamicznie wygenerowanej pieczęci (seal) zawierającej aktualną datę i czas

    2. Zalety QuickSSL Premium z punktu widzenia właściciela serwisu:
    - w przypadku utraty certyfikatu (zgubiony klucz prywatny, włamanie na serwer) certyfikat zostanie wystawiony ponownie za darmo

    - kwota gwarancyjna wynosi 100.000USD, a nie na 10.000USD

    Marka GeoTrust (QuickSSL i QuickSSL Premium) jest bardziej rozpoznawalna niż RapidSSL, dlatego skorzystanie z certyfikatu tej firmy może pozytywnie wpłynąć na wiarygodność serwisu internetowego, który prowadzi działalność e-commerce.

    Szczegóły przesyłam w e-mailu.

  1. 1 Co to jest Certificate Signing Request (CSR)? at Blog Certi.pl
    Pingback on 25.06.2008 o 21:26
Comments are currently closed.