web-dev-qa-db-ja.com

プライベートにホストされている認証局でEV証明書を使用する利点

独自の内部CAを実装している企業の場合、そのCAを構成することにメリットはありますか EV証明書を発行するため

SSLプロキシ(Bluecoatなど)は外部サイト(Paypal.com)のEV証明書を模倣し、それを内部ユーザーに渡しますか?

内部で管理されているEV証明書が提供できる他のユースケース、保証、または利点は何ですか?

1

Extended Validation(EV)証明書は、エンドユーザーにWebサイトが本人であるというより大きな保証を与えるために存在します。これは、認証局(CA)が従う登録プロセスが最低基準(http://www.cabforum.org/Guidelines_v1_3.pdf)を満たしているためです。

実際の証明書の機能は同じEVであるか、EVがないため、証明書自体は追加の暗号化やセキュリティ技術を提供しません。証明書への唯一の変更は、ブラウザによってEVとして認識される証明書運用明細書(CPS)です。 CPSオブジェクト識別子(OID)がEVであることがわかっているOIDのリストと一致し、通常の証明書検証に合格すると、ブラウザーに緑色が表示されます。

内部ネットワークの場合、ホストとリクエスターの検証レベルは通常同じであるため、これによる違いはありません。ご使用の環境で意味がある場合は必ず実行してください。ただし、セキュリティを強化しようとしている場合は、オンライン証明書ステータスプロトコル(OCSP -- http://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol )もっと役に立ちます。 OCSPは、Bluecoat、Windows 2008 R2 CA、およびその他のさまざまな製品でサポートされています。

BluecoatアプライアンスからのEVSSL証明書のインターセプトのサポートは機能しますが、ユーザーに表示される証明書にはCPSが添付されていないため、ブラウザーに緑色で表示されません。

お役に立てれば。

5
Bernie White

そこにすべき違いはありません-通常の自己署名証明書には「私は私だと言っています」と書かれていますが、EVの自己署名証明書には「私は本当に私は間違いなく私だと言っています」。どちらのステートメントも、他のステートメントよりも信頼できるものではありません。EVは、CA(あなた)が証明書所有者(あなたも)の身元を信頼しているレベルに関するものです。

とは言うものの、不適切に記述されたクライアントソフトウェアの中には、信頼パスに関係なくEV証明書を魔法のように異なるものとして扱うものがあることを知っても驚くことではありません。

3
user185

通常のSSL証明書は、次のように伝えます。「これは実際にはドメイン名example.com "

EV証明書には、「これは本当にExample Ltd。 "

偽の証明書

「ExampleLtd。」以降は正式な正式名称です。私のguessは、商号の誤用と見なされる可能性があり、ExampleLtd。が訴える可能性があるということです。 (しかし、example.comの偽の正規証明書を発行することは、Example Ltd.の権利に反するとも思います。)

私は弁護士ではありません。

内部使用のためのEV証明書の利点

アドレスバーに「name-of-bob's-computer.internal-domain "」と表示される代わりに、ブラウザには「Joe's computer」が緑色で表示されます。

2
curiousguy