SSL OV 证书相比于 DV 证书的意义在哪?

2022-01-14 12:27:35 +08:00
 Explr

SSL OV 证书和 EV 证书在签发时需要额外的验证,但是进行这些验证的意义是什么?

浏览器似乎并不会给 OV 证书额外的标识,比如显示组织名之类的,EV 之前有但是慢慢的没了。用户需要刻意的看证书信息才能验证证书所属组织。(另外我还没在 iOS 设备上找到查看证书详细信息的地方)

最重要的是,攻击者只需要想法弄来一个 DV 证书(比如入侵一个 HTTP 服务器或者篡改一条 DNS 记录)就可以实施下一步攻击。浏览器似乎并不会注意到之前用的是 OV 证书,这次换了 DV 证书这件事。而用户也很难察觉。

所以,花大价钱买 OV 、EV 的意义在哪?为了更好的兼容性?

2949 次点击
所在节点    信息安全
14 条回复
ZeroClover
2022-01-14 12:41:56 +08:00
以前是 CA 故意限制 DV 证书的使用范围,比如 IP 证书以前就是 OV Only 。

现在一部分是出于惯性,而且已经有很多公司改用普通 DV 甚至 Let's Encrypt 了。

另外一部分是 Enterprise PKI 这种本身就验证了组织信息,签出来的就直接是 OV 。

以及 DigiCert 的证书都是 OV 起步,而 DigiCert 证书兼容性最好再加上收了 Symantec 的客户。(当然实际上 DigiCert 也是有 Cloud SSL 这种 iCA 的,但一般不面向最终客户)
oott123
2022-01-14 12:47:51 +08:00
技术上没有任何区别。

有解释说这是为了显得你公司肯花钱,提升商业信誉。
a1274598858
2022-01-14 14:17:59 +08:00
证书没有任何区别,只是使用者项会给你多个 O OU L ST C
salmon5
2022-01-14 18:04:52 +08:00
google.com 现在用了 DV 证书;
但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ;
有些浏览器访问响应会快一些。
stevenhawking
2022-01-14 18:57:51 +08:00
本质上区别不是很大;细节上有些差异。
楼上写的: 但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ;
我们旗下的 quantum secure 品牌提供的 DV ,OCSP 服务器(注意,是服务器,不是 CDN 反代)也在大陆
Showfom
2022-01-14 19:07:23 +08:00
对普通访客来说没啥大区别,对网站管理者来说,OV 证书的保险更高,尤其是对大公司,OV 比 DV 要更靠谱,小公司的话无所谓了,好多用 Let's Encrypt 的也没见啥抱怨的
@salmon5 #4 Google 的证书他自己发的,对他们来说 OV DV 没区别了
salmon5
2022-01-14 22:26:37 +08:00
OV 安全性高一些,它申请要核实公司营业执照和座机电话; DV 没有这些,更容易被伪造申请,安全上低一些。
salmon5
2022-01-14 22:29:15 +08:00
@Showfom #6 是啊,这么理解 google 确实没必要 OV ;不是自己签发的企业,从安全上考虑,还是很有必要 OV 的;
当然也看具体业务,比如 douyin.com 就是 DV 证书;
Showfom
2022-01-14 22:32:29 +08:00
@salmon5 #8 这抖音用的最便宜一档的 RapidSSL DV 野卡= =
Explr
2022-01-15 00:20:26 +08:00
@salmon5 问题是,如果攻击者想办法欺骗 CA 搞到了一个 DV 证书,照样可以劫持 DNS 钓鱼,浏览器并不会提醒用户网站证书发生了变化。OV 的额外验证在防止 DNS 劫持这个场景下似乎比 DV 证书没有太多优势。

但是如果用户不确定某个域名是否属于某企业,可以看一眼 OV 证书确认。虽然这么做的人不多但是确实有这个场景。有史以来我只有一次通过看 OV 证书确认营销短信中域名的归属。
lrvinye
2022-01-15 01:03:06 +08:00
ov ev 一般是有保险额度的,随着证书价格增长,
而 dv 一般没有或者保额较少,
如果由于证书所导致的问题有保额是可以获赔的
salmon5
2022-01-17 10:04:52 +08:00
@Explr to C 业务 OV 确实意义不大,用户不可能频繁的检查 OV 证书信息;我想到一种场景,to B 的接口请求定期检查 OV 证书企业信息,能提交安全性。
Opportunity
2022-01-17 11:21:10 +08:00
#10

如果配了 DNS CAA 的话,是不是就只能骗 OV 了,从而提高了安全性?
hxndg
2022-01-18 23:36:47 +08:00
说白了还是服务啊,你要是说证书的区别内容啊,签名啊啥归根到底就是个签名,能有啥区别呢。。。。要么 RSA2048 要么 ECC 。。。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/828204

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX