Кто-нибудь может порекомендовать клиенту услугу ssl-сертификаты?

Question

Я просматриваю множество провайдеров SSL, но все они, похоже, предоставляют "сертификаты электронной почты", которые могут дублироваться как клиентские сертификаты, которые можно установить в браузере.

Продает ли какая-либо компания клиентские сертификаты и знает, о чем они говорят?

Answer 1

Сертификат клиента обычно имеет смысл только в контексте службы, которой он доверяет.

Например, когда компьютер с Windows присоединяется к домену, эта рабочая станция клиента генерирует пару ключей (внутренне), и контроллер домена подписывает ее, и эта подписанная пара (теперь становится сертификатом, но не сертификатом X509) и используется внутренне окнами. Сертификат имеет значение только для контроллера домена.

Обычно крупные организации, которые имеют собственный ЦС, выдают клиентские сертификаты людям, которые хотят использовать SSL-аутентификацию для доступа к защищенным сайтам.

Причиной того, что клиентские сертификаты, вероятно, редко встречаются в Интернете, является проблема отзыва. Если Thawte выдаст вам (лично) сертификат клиента, это будет означать, что он должен нести ответственность за управление отзывом для него. Для того, чтобы он был экономически эффективным, было бы большое количество сертификатов там; и они будут постоянно аннулироваться, так как люди постоянно теряют индивидуальную безопасность.

Answer 2

Сертификаты X509v3 могут быть ограничены определенным использованием. Некоторые сертификаты S / MIME ограничены, поэтому их нельзя использовать для веб-сайтов, но большинство из них - нет.

Thawte больше не выдает клиентские сертификаты. Мой сертификат от 2003 года имел тип сертификата «SSL CLient, S / MIME», указывающий, что они могут использоваться как для электронной почты, так и для клиентских сертификатов. Мой сертификат от 27 апреля 2009 года имел только одно ограничение, которое не могло быть используется как центр сертификации.

Сертификат шифрования Apple iChat можно использовать только для SSL-клиента. Вы получите это автоматически, если вы являетесь клиентом me.com и включите безопасный iChat.

Вы можете обнаружить, что проще всего выдавать собственные сертификаты. Многие люди делают это, и это работает довольно хорошо. Вам потребуется, чтобы пользователь загружал свой собственный ключ в качестве CA.