Parece que usted está buscando dos tipos diferentes de certificados:
1 - Certificado SSL - para la autenticación de su servidor de sitio web/aplicación.
2 - Certificado de firma de código: para la integridad/autenticación del exe que entrega.
Normalmente se trata de dos certificados diferentes, con dos perfiles de certificado diferentes. Por lo menos, necesita un certificado con dos usos clave diferentes o usos de claves extendidas.
Unos pocos pensamientos en ningún orden específico:
Compruebe sus navegadores específicos, cada uno debe tener un conjunto de certificados raíz preconfigurados - esas son las fuentes de certificado público más ampliamente reconocidas. Probablemente verifique tanto Firefox como IE. Los proveedores de certificados conocidos por mí como grandes nombres son: Versign, GeoTrust, RSA, Thawte, Entrust. Pero también está GoDaddy y muchos otros. Todo lo que entregue el navegador entregado como Certificado de raíz de confianza le permitirá conectarse con sus usuarios sin greif adicionales.
Sugiero Google para el "certificado de firma de código" y el "certificado SSL".
La forma de configurar su sitio determinará si su sitio web está validado o si su servidor de autenticación está validado. Si el certificado se almacena en el servidor de aplicaciones, entonces su usuario obtendrá el cifrado SSL hasta llegar al servidor. Pero muchos sitios colocan el certificado SSL un poco más adelante, como en un firewall, y luego crean una colección de servidores de aplicaciones detrás de él. No veo un defecto de seguridad en eso, siempre y cuando la red esté cuidadosamente configurada. Para los usuarios externos, ambas configuraciones tendrán el mismo aspecto: obtendrán el bloqueo en sus navegadores y un certificado que les dirá que www.foo.com ofrece sus credenciales.
que estoy viendo bastante grandes ofertas para los certificados SSL: - GoDaddy - $ 12.99 - Register.com - $ 14,99
Pero ellos no son necesariamente código certifiates firma. Por ejemplo, mientras que el Certificado SSL de GoDaddy es de $ 12.99, ¡su code signing certs cuesta $ 199.99! Esto forma parte de muchos modelos comerciales de proveedores de certificados: atrae a los SSL con certificados económicos y paga por la firma de códigos. Se podría argumentar que los certificados de firma de código tienen una responsabilidad relativamente mayor. Pero también ... tienen que subsidiar los certificados SSL baratos de alguna manera.
Teóricamente, debería ser posible hacer un certificado que haga tanto la firma de código como SSL, pero no estoy seguro de querer eso. Si algo sucediera, sería bueno poder aislar las dos funciones. Además, estoy bastante seguro de que tendrías que llamar a los proveedores de certificados y preguntarles si lo hicieron, y si no lo hacen, hacer que lo hagan probablemente suba el precio bastante alto.
En cuanto a los proveedores, las cosas a tener en cuenta:
- La tecnología es más o menos lo mismo. En estos días, apunte a un mínimo de claves de 128 bits, probablemente subiría a 256, pero estoy paranoico.
- Más allá de la aceptabilidad del navegador, la única razón para pagar más sería el reconocimiento del nombre. Entre los expertos en seguridad paranoica, esperaría que RSA, Thawte, Verisign y GeoTrust tengan muy buena reputación. Probablemente EnTrust, también. Esto probablemente solo importe si está tratando con un producto enfocado en la seguridad. Creo que su usuario promedio no será tan consciente.
- Desde el punto de vista de los geeks de seguridad: usted solo es tan seguro como la seguridad de su CA raíz (Autoridad de certificación). Para los verdaderamente paranoicos, lo que hay que hacer es indagar en el material de fondo sobre cómo la compañía aloja su raíz y cómo emitir CA, ¿cómo se aseguran físicamente? ¿Seguridad de la red? control de acceso de personal? Además, ¿tienen CRL públicas (listas de revocación de certificados)? ¿Cómo se revoca un certificado? ¿Ofrecen OCSP (Protocolo de estado de certificado en línea)? ¿Cómo revisan los solicitantes de certificados para asegurarse de que están entregando el certificado correcto a la persona adecuada? ... Todo esto realmente importa si estás ofreciendo algo que debe ser altamente seguro. Cosas como registros médicos, aplicaciones de gestión financiera, información fiscal, etc. deben estar altamente protegidas. La mayoría de las aplicaciones web no son de alto riesgo y probablemente no requieran este grado de escrutinio.
En esa última viñeta, si exploras los Verisigns del mundo, los certificados muy caros, es probable que veas el valor. Tienen una infraestructura masiva y toman muy en serio la seguridad de sus CA. No estoy tan seguro de los servicios de alojamiento súper baratos. Dicho esto, si su riesgo es bajo, ¡US $ 300 por un Certificado SSL no tiene mucho sentido comparado con US $ 12.99!
La "barra verde" es lo que realmente importa. ¿Ofrecen esas ofertas baratas una barra verde? – Pacerier
La barra verde no es una relación 1: 1 con el proveedor del servicio. Puede depender de la configuración del navegador, la configuración de la red, la precisión de la documentación de su solicitud de certificado y la diligencia con la que administra su PKI. – bethlakshmi
Los navegadores muestran la 'Barra verde' cuando detectan que un sitio está utilizando un certificado de SSL de validación extendida - lista de navegadores con capturas de pantalla de cómo muestran la validación estándar frente a la extendida aquí: https://www.expeditedssl.com/pages/visual -security-browser-ssl-icons-and-design.html –