SSL証明書クラス2対クラス3対クラス4

「証明書クラス」の値はすべて、純粋にマーケティングのものです。技術的には、「認証局」（CA）は、ブラウザのプリインストールされた証明書ストアにある通常のSSL/TLS証明書ですが、これらの証明書はnotに含まれているため、prettyに埋め込まれている追加の拡張フラグが含まれていますほとんどすべての通常の証明書：

Certificate Basic Constraints
  Critical
  Is not a Certificate Authority

技術的には、ブラウザの証明書ストア内のCAはnotで署名する証明書にこの拡張を含めるだけで追加のCA証明書を作成でき、CA policyのみがそれを回避できます。そして、Extended Verification（EV）証明書は、

Certificate Policies
  Not Critical
  Extended Validation (EV) SSL Server Certificate

「重要ではない」ステータスに注意してください。どのソフトウェアもこのことを無視してかまいません。 CAが署名するすべての証明書にこのフラグを追加できないようにする唯一の方法は、独自のポリシーです。それ以外は、証明書に署名する前に証明書ファイルに追加されるのはほんの数バイトです。

つまり、これは基本的に、これまでブラウザに受け入れられていたweakest CAに一致するセキュリティを持つことになります。 「証明書クラス」は技術的にはonlyでユーザーに表示されるCAラベル内に存在するため、セキュリティ上の違いはありません。すべてのCAは技術的に同じであるため、単一のCAの実際に適用されたポリシーが実際に正解である場合、ほとんど差はありません。これは、潜在的な攻撃者が常に別のCAを使用して偽の証明書を取得できるためです。

Moxie Marlinspike が「SSL And The Future Of Authenticity」と呼んでいるトークをブラックハットUSA 2011で発表することを強くお勧めします： http：// www.youtube.com/watch?v=Z7Wl2FW2TcA現在のCAシステムが非常に弱い理由を理解するのに役立ちます。

クライアントソフトウェアでデフォルトの警告が表示されてサイレントになる証明書anyを購入することをお勧めします。より良いバッジが必要な場合ブラウザのUI、購入any EV証明書。 whenより高いセキュリティが必要な場合は、常に自分で証明書のフィンガープリントを確認してください。決して信頼しないanyサードパーティのCAが適切に処理を行う。

結構です。ほとんどの信頼できる証明書ベンダーは、そのクラス3チェックリストのすべてを実行します。 EV証明書は、同じチェックのより完全なバージョンに過ぎず、「通常の」チェックとは異なる理由で、これらのチェックに失敗する可能性があります。