V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Explr
V2EX  ›  信息安全

SSL OV 证书相比于 DV 证书的意义在哪?

  •  
  •   Explr · 2022-01-14 12:27:35 +08:00 · 2703 次点击
    这是一个创建于 794 天前的主题,其中的信息可能已经有所发展或是发生改变。

    SSL OV 证书和 EV 证书在签发时需要额外的验证,但是进行这些验证的意义是什么?

    浏览器似乎并不会给 OV 证书额外的标识,比如显示组织名之类的,EV 之前有但是慢慢的没了。用户需要刻意的看证书信息才能验证证书所属组织。(另外我还没在 iOS 设备上找到查看证书详细信息的地方)

    最重要的是,攻击者只需要想法弄来一个 DV 证书(比如入侵一个 HTTP 服务器或者篡改一条 DNS 记录)就可以实施下一步攻击。浏览器似乎并不会注意到之前用的是 OV 证书,这次换了 DV 证书这件事。而用户也很难察觉。

    所以,花大价钱买 OV 、EV 的意义在哪?为了更好的兼容性?

    14 条回复    2022-01-18 23:36:47 +08:00
    ZeroClover
        1
    ZeroClover  
       2022-01-14 12:41:56 +08:00
    以前是 CA 故意限制 DV 证书的使用范围,比如 IP 证书以前就是 OV Only 。

    现在一部分是出于惯性,而且已经有很多公司改用普通 DV 甚至 Let's Encrypt 了。

    另外一部分是 Enterprise PKI 这种本身就验证了组织信息,签出来的就直接是 OV 。

    以及 DigiCert 的证书都是 OV 起步,而 DigiCert 证书兼容性最好再加上收了 Symantec 的客户。(当然实际上 DigiCert 也是有 Cloud SSL 这种 iCA 的,但一般不面向最终客户)
    oott123
        2
    oott123  
       2022-01-14 12:47:51 +08:00
    技术上没有任何区别。

    有解释说这是为了显得你公司肯花钱,提升商业信誉。
    a1274598858
        3
    a1274598858  
       2022-01-14 14:17:59 +08:00
    证书没有任何区别,只是使用者项会给你多个 O OU L ST C
    salmon5
        4
    salmon5  
       2022-01-14 18:04:52 +08:00
    google.com 现在用了 DV 证书;
    但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ;
    有些浏览器访问响应会快一些。
    stevenhawking
        5
    stevenhawking  
       2022-01-14 18:57:51 +08:00
    本质上区别不是很大;细节上有些差异。
    楼上写的: 但是技术上有一些差别:digicert 的 OV 证书有专用的中国 crl 和 ocsp 服务器; GlobalSign 的 OV 证书有专门的全球 cdn ;
    我们旗下的 quantum secure 品牌提供的 DV ,OCSP 服务器(注意,是服务器,不是 CDN 反代)也在大陆
    Showfom
        6
    Showfom  
       2022-01-14 19:07:23 +08:00
    对普通访客来说没啥大区别,对网站管理者来说,OV 证书的保险更高,尤其是对大公司,OV 比 DV 要更靠谱,小公司的话无所谓了,好多用 Let's Encrypt 的也没见啥抱怨的
    @salmon5 #4 Google 的证书他自己发的,对他们来说 OV DV 没区别了
    salmon5
        7
    salmon5  
       2022-01-14 22:26:37 +08:00
    OV 安全性高一些,它申请要核实公司营业执照和座机电话; DV 没有这些,更容易被伪造申请,安全上低一些。
    salmon5
        8
    salmon5  
       2022-01-14 22:29:15 +08:00
    @Showfom #6 是啊,这么理解 google 确实没必要 OV ;不是自己签发的企业,从安全上考虑,还是很有必要 OV 的;
    当然也看具体业务,比如 douyin.com 就是 DV 证书;
    Showfom
        9
    Showfom  
       2022-01-14 22:32:29 +08:00
    @salmon5 #8 这抖音用的最便宜一档的 RapidSSL DV 野卡= =
    Explr
        10
    Explr  
    OP
       2022-01-15 00:20:26 +08:00 via Android
    @salmon5 问题是,如果攻击者想办法欺骗 CA 搞到了一个 DV 证书,照样可以劫持 DNS 钓鱼,浏览器并不会提醒用户网站证书发生了变化。OV 的额外验证在防止 DNS 劫持这个场景下似乎比 DV 证书没有太多优势。

    但是如果用户不确定某个域名是否属于某企业,可以看一眼 OV 证书确认。虽然这么做的人不多但是确实有这个场景。有史以来我只有一次通过看 OV 证书确认营销短信中域名的归属。
    lrvinye
        11
    lrvinye  
       2022-01-15 01:03:06 +08:00 via iPhone
    ov ev 一般是有保险额度的,随着证书价格增长,
    而 dv 一般没有或者保额较少,
    如果由于证书所导致的问题有保额是可以获赔的
    salmon5
        12
    salmon5  
       2022-01-17 10:04:52 +08:00
    @Explr to C 业务 OV 确实意义不大,用户不可能频繁的检查 OV 证书信息;我想到一种场景,to B 的接口请求定期检查 OV 证书企业信息,能提交安全性。
    Opportunity
        13
    Opportunity  
       2022-01-17 11:21:10 +08:00
    #10

    如果配了 DNS CAA 的话,是不是就只能骗 OV 了,从而提高了安全性?
    hxndg
        14
    hxndg  
       2022-01-18 23:36:47 +08:00
    说白了还是服务啊,你要是说证书的区别内容啊,签名啊啥归根到底就是个签名,能有啥区别呢。。。。要么 RSA2048 要么 ECC 。。。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   我们的愿景   ·   实用小工具   ·   6030 人在线   最高记录 6543   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 29ms · UTC 02:18 · PVG 10:18 · LAX 19:18 · JFK 22:18
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.