Похоже, вы ищете два разных типа сертификатов:
1 - SSL-сертификат - для аутентификации вашего сайта / сервера приложений.
2 - Сертификат подписи кода - для целостности / аутентификации исполняемого файла, который вы поставляете.
Обычно это два разных сертификата с двумя разными профилями сертификатов. Как минимум, вам нужен один сертификат с двумя разными ключами или расширенными ключами.
Несколько мыслей в произвольном порядке:
Проверьте целевые браузеры, каждый из них должен иметь набор предварительно настроенных корневых сертификатов - это наиболее широко признанные общедоступные источники сертификатов. Я бы, наверное, проверил и Firefox, и IE. Поставщики сертификатов, известные мне как громкие имена, - это Versign, GeoTrust, RSA, Thawte, Entrust. Но есть также GoDaddy и многие другие. Все, что входит в поставляемый браузер в качестве доверенного корневого сертификата, позволит вам подключаться к вашим пользователям без дополнительных настроек.
Я предлагаю поискать в Google как «сертификат подписи кода», так и «сертификат SSL».
От того, как вы настроите свой сайт, будет зависеть, проверен ли ваш сайт или ваш сервер аутентификации. Если сертификат хранится на сервере приложений, то ваш пользователь получает SSL-шифрование до самого сервера. Но многие сайты помещают SSL-сертификат немного дальше - как на брандмауэр, а затем размещают за ним набор серверов приложений. Я не вижу в этом недостатка безопасности, пока сеть тщательно настроена. Для внешних пользователей обе конфигурации будут выглядеть одинаково - они получат блокировку в своих браузерах и сертификат, который сообщает им, что www.foo.com предлагает свои учетные данные.
Я вижу довольно выгодные предложения для сертификатов SSL:
- GoDaddy - $ 12,99
- Register.com - $ 14,99
Но они не обязательно подпись кода удостоверяет . Например, хотя SSL-сертификат GoDaddy стоит 12,99 долл. США, * сертификаты подписи кода составляют 199,99 долл. США! Это является частью бизнес-моделей многих поставщиков сертификатов - заманивайте вас дешевыми сертификатами SSL и заставляйте платить за подпись кода. Можно привести доводы в пользу того, что сертификаты на подпись кодов несут относительно большую ответственность. Но также ... они должны как-то субсидировать дешевые сертификаты SSL.
Теоретически, должна быть возможность создать сертификат, который выполняет как подпись кода, так и SSL, но я не уверен, что вы этого хотите. Если что-то случится, было бы неплохо иметь возможность изолировать две функции. Кроме того, я почти уверен, что вам нужно будет позвонить поставщикам сертификатов и спросить, сделали ли они это, и если они этого не сделают, то, вероятно, это заставит их поднять цену.
Что касается поставщика, на что следует обратить внимание:
- Технология практически одинакова. В наши дни, стремясь получить как минимум 128-битные ключи, я бы, вероятно, увеличил его до 256, но я параноик.
- Помимо принятия браузером, единственной причиной, чтобы платить больше, было бы признание имени. Среди параноидальных наград за безопасность я бы ожидал, что RSA, Thawte, Verisign и GeoTrust будут иметь очень хорошую репутацию. Наверное, EnTrust тоже. Это, вероятно, имеет значение, только если вы имеете дело с продуктом, ориентированным на безопасность. Я думаю, что ваш средний пользователь не будет так осведомлен.
- С точки зрения специалиста по безопасности - вы в такой же безопасности, как и безопасность вашего корневого центра сертификации (центра сертификации). Для истинно параноика, что нужно сделать, это покопаться в справочных материалах о том, как компания размещает свои корневые и выпускающие ЦС, как они физически защищены? безопасность сети? контроль доступа персонала? Кроме того - есть ли у них общедоступные списки отзыва сертификатов (списки отзыва сертификатов), как вы можете отозвать сертификат? Они предлагают OCSP (Протокол статуса сертификата онлайн)? Как они проверяют лиц, запрашивающих сертификаты, чтобы убедиться, что они дают правильный сертификат нужному человеку? ... Все эти вещи действительно имеют значение, если вы предлагаете что-то, что должно быть в высшей степени безопасным. Такие вещи, как медицинские документы, заявления о финансовом управлении, налоговая информация и т. Д. Должны быть надежно защищены. Большинство веб-приложений не подвержены такому высокому риску и, вероятно, не требуют такой степени контроля.
В этой последней пуле - если вы копаете Verisigns of the world - очень дорогие сертификаты - вы, вероятно, увидите ценность. Они имеют обширную инфраструктуру и очень серьезно относятся к безопасности своих ЦС. Я не очень уверен насчет супер-дешевых хостинговых услуг. Тем не менее, если ваш риск низкий, 300 долларов США за сертификат SSL не имеет особого смысла по сравнению с 12,99 долларов США !!