私は、clickonce(ウェブサイトfoo.com)を使用して展開され、暗号化されたトランスポートを使用してWCFを使用してサーバーに接続するソフトウェアを開発しています。
したがって、次の SSL 証明書が必要です:
- 私のfoo.comウェブサイトが本当に私のウェブサイトであることを確認する
- ClickOnceを使用して展開したexeが本物であることを確認する
- 私のアプリケーション サーバーが実際に私のアプリケーション サーバーであるかどうかを識別します。
また、SSL 証明書は、一般に知られている認証局によって署名されることを希望します (つまり、Firefox や Windows では、ユーザーに最初に認証局の証明書をインストールするように要求しません)。
どの SSL 証明書を購入しますか?
Verisign の Web サイトを閲覧したところ、「Secure Site EV」証明書の料金は年間 1150 ユーロです (「Pro」バージョンは古いブラウザとの互換性のためだけに便利なようです)
ベストアンサー1
2 種類の異なる証明書をお探しのようです:
1 - SSL 証明書 - Web サイト/アプリケーション サーバーの認証用。
2 - コード署名証明書 - 配信する exe の整合性/認証用。
通常、これらは 2 つの異なる証明書であり、2 つの異なる証明書プロファイルがあります。少なくとも、2 つの異なるキー使用法または拡張キー使用法を持つ 1 つの証明書が必要です。
順不同でいくつかの考えを述べます。
対象のブラウザを確認してください。それぞれのブラウザには、事前に構成されたルート証明書のセットがあるはずです。これらは、最も広く認識されている公開証明書ソースです。おそらく Firefox と IE の両方を確認するでしょう。私が知っている証明書ベンダーの有名企業は、Versign、GeoTrust、RSA、Thawte、Entrust です。しかし、GoDaddy など、他にもたくさんあります。配信されたブラウザに信頼されたルート証明書として付属するものであれば、追加の煩わしさなくユーザーに接続できます。
「コード署名証明書」と「SSL 証明書」の両方を Google で検索することをお勧めします。
サイトの構成方法によって、Web サイトが検証されるか、認証サーバーが検証されるかが決まります。証明書がアプリケーション サーバーに保存されている場合、ユーザーはサーバーに至るまで SSL 暗号化を利用できます。ただし、多くのサイトでは SSL 証明書をファイアウォールなどのもう少し前方に配置し、その背後にアプリケーション サーバーの集合を配置しています。ネットワークが慎重に構成されている限り、これにセキュリティ上の欠陥は見当たりません。外部のユーザーにとっては、どちらの構成も同じに見えます。ブラウザーにロックがかかり、www.foo.com が資格情報を提供していることを示す証明書が表示されます。
SSL 証明書のかなりお得なセールが目立ちます: - GoDaddy - $12.99 - Register.com - $14.99
しかし必ずしもそうではないコード署名証明書たとえば、GoDaddyのSSL証明書は12.99ドルですが、コード署名証明書199.99 ドルです! これは多くの証明書ベンダーのビジネス モデルの一部です。安価な SSL 証明書でユーザーを誘い込み、コード署名に料金を支払わせるのです。コード署名証明書は比較的責任が大きいという主張も成り立ちます。しかし、また... 何らかの方法で安価な SSL 証明書を補助する必要があります。
理論的には、コード署名と SSL の両方を実行する証明書を作成できるはずですが、それが必要なのかどうかはわかりません。何かが起こった場合に備えて、2 つの機能を分離できると便利です。また、証明書ベンダーに電話して、これを実行しているかどうかを尋ねる必要があると思います。実行していない場合は、実行してもらうと価格がかなり高くなる可能性があります。
ベンダーに関しては、次の点を考慮する必要があります。
- 技術はどれもほぼ同じです。最近では、最低でも 128 ビットのキーを目指します。私ならおそらく 256 まで上げますが、私は心配性です。
- ブラウザの受け入れ可能性以外で、もっとお金を払う唯一の理由は、知名度でしょう。偏執的なセキュリティ専門家の間では、RSA、Thawte、Verisign、GeoTrust の評判が非常に良いと思います。おそらく EnTrust もそうです。これは、セキュリティに重点を置いた製品を扱っている場合にのみ関係するでしょう。平均的なユーザーはそれほど意識していないと思います。
- セキュリティ マニアの観点から言うと、あなたの安全はルート CA (証明機関) のセキュリティによってのみ確保されます。本当に心配性な人は、会社がルート CA と発行 CA をどのようにホストしているか、どのように物理的にセキュリティ保護されているか、ネットワーク セキュリティはあるのか、個人のアクセス制御はあるのかなど、背景資料を詳しく調べる必要があります。また、公開 CRL (証明書失効リスト) があるか、証明書を取り消すにはどうすればよいか、OCSP (オンライン証明書ステータス プロトコル) は提供されているか、証明書の要求者が適切な証明書を適切な人物に付与していることを確認するためにどのように証明書要求者をチェックしているかなどについても調べる必要があります。... 高度なセキュリティが求められるものを提供する場合、これらすべてのことが本当に重要です。医療記録、財務管理アプリケーション、税務情報などは高度に保護する必要があります。ほとんどの Web アプリはそれほどリスクが高くなく、おそらくこのレベルの精査は必要ありません。
最後の項目ですが、非常に高価な証明書である Verisign を詳しく調べれば、その価値がわかるでしょう。Verisign は大規模なインフラストラクチャを持ち、CA のセキュリティを非常に真剣に考えています。非常に安価なホスティング サービスについてはよくわかりません。とはいえ、リスクが低い場合は、SSL 証明書に 300 ドル払うのは、12.99 ドルに比べればあまり意味がありません。