SSL OV 证书和 EV 证书在签发时需要额外的验证,但是进行这些验证的意义是什么?
浏览器似乎并不会给 OV 证书额外的标识,比如显示组织名之类的,EV 之前有但是慢慢的没了。用户需要刻意的看证书信息才能验证证书所属组织。(另外我还没在 iOS 设备上找到查看证书详细信息的地方)
最重要的是,攻击者只需要想法弄来一个 DV 证书(比如入侵一个 HTTP 服务器或者篡改一条 DNS 记录)就可以实施下一步攻击。浏览器似乎并不会注意到之前用的是 OV 证书,这次换了 DV 证书这件事。而用户也很难察觉。
所以,花大价钱买 OV 、EV 的意义在哪?为了更好的兼容性?
1
ZeroClover 2022-01-14 12:41:56 +08:00
以前是 CA 故意限制 DV 证书的使用范围,比如 IP 证书以前就是 OV Only 。
现在一部分是出于惯性,而且已经有很多公司改用普通 DV 甚至 Let's Encrypt 了。 另外一部分是 Enterprise PKI 这种本身就验证了组织信息,签出来的就直接是 OV 。 以及 DigiCert 的证书都是 OV 起步,而 DigiCert 证书兼容性最好再加上收了 Symantec 的客户。(当然实际上 DigiCert 也是有 Cloud SSL 这种 iCA 的,但一般不面向最终客户) |
2
oott123 2022-01-14 12:47:51 +08:00
技术上没有任何区别。
有解释说这是为了显得你公司肯花钱,提升商业信誉。 |
3
a1274598858 2022-01-14 14:17:59 +08:00
证书没有任何区别,只是使用者项会给你多个 O OU L ST C
|
4
salmon5 2022-01-14 18:04:52 +08:00
google.com 现在用了 DV 证书;
但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ; 有些浏览器访问响应会快一些。 |
5
stevenhawking 2022-01-14 18:57:51 +08:00
本质上区别不是很大;细节上有些差异。
楼上写的: 但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ; 我们旗下的 quantum secure 品牌提供的 DV ,OCSP 服务器(注意,是服务器,不是 CDN 反代)也在大陆 |
6
Showfom 2022-01-14 19:07:23 +08:00
对普通访客来说没啥大区别,对网站管理者来说,OV 证书的保险更高,尤其是对大公司,OV 比 DV 要更靠谱,小公司的话无所谓了,好多用 Let's Encrypt 的也没见啥抱怨的
@salmon5 #4 Google 的证书他自己发的,对他们来说 OV DV 没区别了 |
7
salmon5 2022-01-14 22:26:37 +08:00
OV 安全性高一些,它申请要核实公司营业执照和座机电话; DV 没有这些,更容易被伪造申请,安全上低一些。
|
8
salmon5 2022-01-14 22:29:15 +08:00
|
10
Explr OP @salmon5 问题是,如果攻击者想办法欺骗 CA 搞到了一个 DV 证书,照样可以劫持 DNS 钓鱼,浏览器并不会提醒用户网站证书发生了变化。OV 的额外验证在防止 DNS 劫持这个场景下似乎比 DV 证书没有太多优势。
但是如果用户不确定某个域名是否属于某企业,可以看一眼 OV 证书确认。虽然这么做的人不多但是确实有这个场景。有史以来我只有一次通过看 OV 证书确认营销短信中域名的归属。 |
11
lrvinye 2022-01-15 01:03:06 +08:00 via iPhone
ov ev 一般是有保险额度的,随着证书价格增长,
而 dv 一般没有或者保额较少, 如果由于证书所导致的问题有保额是可以获赔的 |
12
salmon5 2022-01-17 10:04:52 +08:00
@Explr to C 业务 OV 确实意义不大,用户不可能频繁的检查 OV 证书信息;我想到一种场景,to B 的接口请求定期检查 OV 证书企业信息,能提交安全性。
|
13
Opportunity 2022-01-17 11:21:10 +08:00
#10
如果配了 DNS CAA 的话,是不是就只能骗 OV 了,从而提高了安全性? |
14
hxndg 2022-01-18 23:36:47 +08:00
说白了还是服务啊,你要是说证书的区别内容啊,签名啊啥归根到底就是个签名,能有啥区别呢。。。。要么 RSA2048 要么 ECC 。。。
|