it-swarm-korea.com

암호화에 어떤 종류의 SSL 인증서를 사용할 수 있습니까?

Verizon SSL 인증서의 가격이 600 달러에 가깝다는 것을 알고 있습니다. 저렴한 대안이 몇 가지 있지만 Verizon이 그러한 인증서를 제공하지 않는 이유를 이해하지 못했습니다. RapidSSL at nameCheap 을 찾습니다. 그들은 $ 20 계획의 암호화에 대해 아무 말도하지 않습니다.

위의 내용이 암호화를 제공하지 않는다고 가정합니다 : SSL 인증서를 수동으로 생성하면 상호 암호화가 제공됩니까?

SSL 인증서에 대한 몇 가지 질문이 있지만 내 질문에 대한 답변이없는 것 같습니다.

Avid의 대답 첫 번째 질문에 대한 SSL 인증서에 대한 배경 지식이없는 사람에게는 조금 복잡하게 들렸습니다.

12
Sairam

인증서는 암호화를 제공하지 않습니다. 암호화는 SSL 자체에서 발생합니다. 인증서는 클라이언트가 성실하게 암호화하는 데이터가 실제로 서버를 가장하는 다른 사람이 아닌 의도 된 진짜 서버로 전송된다는 사실을 클라이언트에게 확신시키는 것입니다. SSL 서버용 인증서는 디지털 서명 (예 : DSA 키)에만 작동하는 키를 사용할 수 있으며 데이터는 계속 암호화됩니다.

상업용 CA의 인증서 가격은 다음과 같은 경향에 의해 결정됩니다.

  • CA는 인증서를 구입 한 사람의 신원에 대해 다소 철저한 검사를 수행해야합니다. 이것이 CA의 유일한 요점입니다. "물리적 신원"을 공개 키와 연결하는 것입니다. 이러한 검증은 인간의 노동을 의미하며 비용이 많이들 수 있습니다.

  • CA에는 보험 이 있습니다. 인증서를 구매할 때 CA는 "인증 정책 설명"에 정의 된대로 의도 된 확인 절차를 따르지 않고 CA에서 발생할 수있는 보안 문제에 대해 책임을집니다. 간단히 말해서, 더 비싼 인증서를 구매하면 더 많은 돈을 위해 소송을 제기 할 권리가 있습니다.

  • 상용 CA는 가능한 한 많은 비용을 청구합니다. CA가 600 $ 인증서를 판매하는 경우 가격이 650 $이면 너무 많은 판매를 잃을 것이라고 추정 한 것입니다. 인증서의 상업적 가치는 CA 루트 키가 SSL 클라이언트의 브라우저에 이미 알려져 있다는 사실에서 비롯됩니다. Windows/Internet Explorer의 경우 알려진 CA의 기본 목록은 Microsoft에서 관리하며 CA 만 포함하지 않습니다. 결과적으로 CA 시장은 완전히 개방되어 있지 않으며 경쟁은 가격을 낮추지 못합니다. 현재 SSL 인증서는 가격이 비싼 경향이 있습니다. 예를 들어, 이것은 Thawte 창립자 Mark Shuttleworth 가 우주 여행을 구매 한 다음 buntu Linux 배포판 를 만들고 자금을 조달 할 수 있도록 허용했습니다. 판매 된 각 인증서에서 많은 이익을 얻습니다.

자신의 인증서를 만들 수 있습니다 (예를 들어 OpenSSL 은이를 수행 할 수있는 무료 도구입니다 . EJBCA 더 좋은 인터페이스); 수제 인증서는 종종 자체 서명됩니다 (인증서에는 발급 CA의 서명이 있어야합니다. 형식은 해당 서명 필드를 생략 할 수 없습니다. 따라서 스탠드의 경우 인증서를 "자체 서명")하는 것이 일반적입니다. -단독 CA없는 인증서). 수제 인증서의 실질적인 결과는 웹 브라우저가 처음 접했을 때 몇 가지 무서운 경고를 표시한다는 것입니다 (그러나 사용자는 경고를 무시하는 데 꽤 능숙합니다. 그런데 일반적으로 문제이기도합니다).

11
Thomas Pornin

SSL이 실제로 수행하는 작업에 대해 약간 혼란스러워하는 것 같습니다. SSL 트랜잭션은 항상 암호화됩니다. 암호화 없이는 존재하지 않습니다. 여러분이 알고 싶은 것은 완전히 다른 인증입니다. [업데이트 : 비 암호화 알고리즘 선택 가능]

일반적인 쇼핑 시나리오 (예 : Amazon.com)에서는 연결이 종단 간 암호화됩니다. 그들이 말하는 사람이 누구인지 어떻게 알 수 있습니까? Verisign은 개인 키로 인증서에 서명했습니다. 브라우저는 Verisign 인증서와 함께 제공되었으므로 대화중인 Amazon.com이 Verisign이 서명 한 것인지 확실하게 알 수 있습니다. 그들은 당신이 당신의 암호를 알고 있기 때문에 당신이 누구라고 주장하는지 알고 있습니다. 따라서 PKI 인증서를 통해 알고 있으며 암호를 통해 알고 있습니다.

특정 상황에서 클라이언트와 서버는 모두 PKI 인증서를 사용하여 자신을 식별 할 수 있습니다. 이것은 로컬 파일, USB 장치 또는 스마트 카드 판독기를 사용하여 수행 할 수 있습니다. 이 경우 클라이언트 서명을 확인하고 클라이언트 서명을 확인합니다.

CAcert 에 참여하는 것이 좋습니다. 무료 커뮤니티 지원 인증 기관입니다. 유일한 단점은 주요 브라우저가 아직 루트 인증서를 제공하지 않는다는 것입니다. 자유롭게 사용할 수 있지만 브라우저에 직접 배포해야 할 수도 있습니다. 적어도 배우고 생각해야 할 것입니다.

6
pboin

일반적으로 인증서는 거의 동일합니다. 암호화 인증서 ( X.509 )에 대한 명확한 표준이 있으며 인증서에 대한 "모드"가 다르지만 일반적으로 모든 종류의 암호화를 지원합니다. 사용하고 싶습니다.
내가 인정하는 복잡한 대답 (간단하지 않기 때문에)은 대부분 서버 구성에 적용됩니다. 예 : 암호 제품군은 웹 서버 (및 브라우저)에서 구성됩니다.

인증서는 주로 추가 필드가있는 공개 키 (연결된 개인 키 포함)이며 누군가가 인증서 소유자의 신원을 확인했음을 증명하는 "래퍼"입니다.

(인증서에도 암호화 알고리즘이 지정되어 있지만 이는 인증서 서명 등에 적용됩니다.)

더 많은 정보가 필요하면 알려주세요.

5
AviD

RapidSSL은 모든 SSL 인증서와 마찬가지로 암호화를 제공합니다 (서버-클라이언트 연결이 일부 상황에서 널 암호를 사용하여 끝날 수 있지만 이는 인증서에 국한되지 않음)

또한 일부 환경에서는 무료 인 자체 서명 SSL 인증서가 완벽하게 합리적인 옵션입니다.

인증서 비용에서 볼 수있는 차이는 일반적으로 인증 기관에서 수행하는 검사 수준과 인증서가 사용할 수있는 용도 및 와일드 카드 인증서인지 여부와 같이 인증서에서 제공하는 기타 "기능"으로 내려갑니다.

저렴한 인증서는 특정 도메인에 대한 인증서를 실제로받을 자격이 있는지 CA에서 많은 확인을 필요로하지 않는 경향이 있으며, 일부는 미리 지정된 특정 이메일 주소로 이메일을받을 수있는 것만 큼 적을 수 있습니다 주어진 도메인 (예 : ssladmin @ domain)에서.

이론은 사용자가 합법적이라고 더 많은 신뢰를 가질 수 있기 때문에 더 많은 검사를 수행하는 더 비싼 인증서가 더 좋습니다. 그러나 거의 모든 사용자가 인증서 발급자를 확인하지 않으므로 이것이 유효한 이유인지 확실하지 않습니다.

공용 서비스에 대한 인증서에서주의해야 할 주요 사항은 서명에 사용되는 루트 인증서가 모든 주요 브라우저에 포함되어 있다는 것입니다. 그렇지 않은 경우 사용자가 사이트에 연결할 때 인증서 경고가 표시되어 사이트 사용을 방해 할 수 있습니다.

은행 및 일부 대형 전자 상거래 사이트에서 널리 사용되는 "EV-SSL"을 사용하는 한 가지 예외가 있습니다. EV 인증서는 브라우저에서 사용 중이라는 시각적 알림을 제공하여 사용자가 해당 연결에 더 많은 신뢰가 있음을 느끼게합니다.

EV 인증서를 얻으려면 발급 CA가 사용자가 인증서의 적절한 소유자인지 확인하기 위해 몇 가지 검사를 수행해야합니다. 이는 비용이 더 높은 이유 중 하나입니다.

4
Rory McCune