假设我知道一个人以非常低的价格出售 SSL 证书,假设他们会为我生成一个真实有效的证书,因为我需要向他们提交我的 CSR 并且他们传递给 CA,是否存在任何风险在技术上从他们那里购买证书?
第二个问题是:给定一个证书,我有什么方法可以知道证书是从谁那里购买的?(除了询问 CA)
更新:我的意思是经销商以非常便宜的价格出售知名 SSL(Comodo Positive SSL),例如比 namecheap 等经销商高 10-20%,但我需要提交 CSR 并从他们那里购买而不是 Comodo,所以我需要知道风险。
不存在泄露私钥的风险,因为您只发送包含公钥的 CSR,而不发送私钥。但是使用 CA 实际上是一种信任委托,因为人们信任您的证书,因为他们(或浏览器)信任签署证书的 CA。一旦他们注意到 CA 不再值得信赖(例如DigiNotar在 2011 年被黑客入侵后),他们将删除信任,因此他们也将不再信任 CA 颁发的任何证书 - 这直接影响您。
如果 CA 本身是受信任的,但经销商只是便宜,我不会太担心。经销商经常从 CA 那里获得巨额回扣,因此如果他们的其他成本(如营销)很小,他们可以提供便宜的价格。
您最好检查一下卖家是否为您现在不需要但以后可能需要的服务(例如证书续订或吊销)收取高额费用。这就是所谓的买入,几乎在您购物的任何地方都必须留意这种策略。
使用看起来很狡猾的 CA 的风险不在证书注册过程中:只要您自己生成密钥对并仅向 CA(仅包含公钥)发送证书请求并接收原始证书作为回报(不是 PKCS#12/PFX 存档),那么您的私钥就是您的,并且只有您的。
然而,风险在于信任。为了使您的证书有用,无论您向谁展示它(例如客户端 Web 浏览器)都必须信任 CA——否则,您的证书对您毫无用处。如果他们信任 CA,那么他们信任 CA 可能生成的任何证书。从技术上讲,这不是您的问题,而是客户的问题;但是,如果 CA 看起来真的很便宜,那么通过联想,你也会看起来很便宜。这可能不是您要投影的图像。
客户可以通过让他的浏览器显示“证书链”(只需单击“挂锁图标”)轻松了解任何证书的出处。
关于经销商的事情。
对于 CA 来说,通过经销商以低廉的价格出售其低成本证书是一种相当普遍的做法,但在他们自己的网站上以高得多的价格出售相同的证书。这一事实本身并不令人担忧。
当他们通过经销商进行销售时,他们的成本就会降低。另外,他们依靠经销商网络来推广他们的产品。
经销商处理计费和支持方面的问题,但他们无权访问 CA 的根私钥,也无法在自己的机器上生成证书。证书仍然是在 CA 的机器上生成的,根据他们自己的安全和信息处理程序,仍然必须满足他们证明身份等的要求。实际上,经销商对安全的任何方面都没有太多控制权并将其全部交给 CA。
因此,您收到的最终产品的质量和安全性将与您直接从 CA 购买一样。
从未知公司购买时要注意的事项
他们是否提供体面的客户支持?他们转售其产品的 CA 可能不会直接向您提供支持;在大多数情况下由经销商处理。
如果您需要吊销证书,他们是否对该服务收费?费用高吗?
在大多数情况下,续订成本并不是什么大问题,因为如果您愿意,您可以自由地与其他人续订。没有系统阻止您从不同的提供商处获得同一域的证书。