Certifikáty Thawte

Certifikáty thawte

Thawte je jednou z nejznámějších certifikačních autorit. Prosadil se díky vytvoření tzv. Web of Trust, což byla síť „notářů“, kteří ověřovali identitu lidí a thawte jim potom vystavoval zdarma certifikáty pro šifrování a podpis elektronické pošty. Tyto certifikáty byly implicitně důvěrhodné ve všech běžně používaných poštovních programech. Kdokoliv do sítě vstoupil se mohl po ověření dostatečným počtem lidí stát sám notářem a ověřovat dále. Notáři kromě certifkátu zdarma zpravidla pomáhali i s vystavením serverových SSL certifikátů a thawte těžil z toho, že dostává žádosti předověřené lokálním partnerem se znalostí místních poměrů a tak dosáhl mimořádné spolehlivosti i na trzích, které byly pro ostatní certifikační autority problematické, případně na nich neměly vůbec odvahu podnikat.

V roce 1999 byl thawte zakoupen společností Verisign a po 10 letech v roce 2009 byl integrován přímo do společnosti Verisign, což bohužel přineslo zrušení sítě Web of Trust. Nyní již thawte pouze označuje produktovou řadu pro středně náročné zákazníky a Verisign certifikáty jsou stále exkluzivním zbožím pro nejnáročnější zákazníky.

Typy certifikátů vydávané společností thawte

Zobraz

informací

  • thawte SGC SuperCerts

    thawte SGC SuperCerts

    Tyto certifikáty přináší milionům uživatelů, kteří by byli jinak odkázáni na použití slabých 40-bitových šifer, možnost komunikovat plnohodnotným 128 bitovým šifrováním.

    Z vojenských důvodů jsou v USA šifry rozdělené na slabé a silné, přičemž do vybraných zemích se smějí exportovat pouze ty slabé. Takovou zemí byla do roku 2000 i Česká republika a tak software vyvinutý v USA a dodávaný do ČR měl omezené možnosti šifrování (např. Windows 2000 a nižší verze). Toto omezení je pouze softwarové, šifry jsou v programech k dispozici, ale jejich použití je zablokované. Certifikáty třídy SCG obsahují extenzi, které u klienta blokování vypíná a umožňuje mu používat plnohodnotné šifrování. Jsou vydávány důvěryhodným partnerům a jejich získání je nejobtížnější. Současně však požívají nejvyššího stupně důvěry ze stran komunikujících klientů a tak jsou vhodné pro nejnáročnější aplikace. Jejich vystavení je i v případě, že žadatel má všechny doklady v pořádku záležitostí týdne i více. Certifikát umožňuje použití až 256 bitových šifer, pokud je umí obě komunikující strany. Současné verze MSIE však neumí silnější než 128 bitové šifry.

  • thawte Web Server Wildcard Certificates

    thawte Web Server Wildcard Certificates

    Tyto certifikáty je možné použít na libovolném počtu doménových jmen, pokud jsou ve stejné doméně

    Tyto certifikáty jsou vystaveny tak, že na místě jména počítače obsahují žolíkový znak = hvězdičku. Umožňují nastavovat webhostingovým firmám oddělené virtuální servery v rámci vlastní domény. Každý zákazník poté může používat „vlastní doménu“ typu https://zakoupil.kdesi.cz a https://zboril.kdesi.cz, přičemž zákazníků může být neomezené množství a certifikát je stále jen jeden. Tento certifikát je současně jediným řešením pro toho, kdo potřebuje více virtuálních serverů na jedné IP adrese. Stejně jako ostatní certifikáty podporují i 256 bitové šifrování, nemají však extenzi vypínající blokování silných šifer na straně klienta.

  • thawte SSL Web Server Certificates

    thawte SSL Web Server Certificates

    Základní certifikát pro každou příležitost

    Certifikát je vydáván žadateli po jeho pečlivém ověření, obsahuje jak kanonické jméno serveru, tak plné jméno žadatele a to buď občanské nebo takové, které má žadatel zapsané v obchodním rejstříku. Neobsahuje extenzi pro upgrade na 128 bitové šifrování, takže je vhodný pouze pro klienty používající zaručeně Internet Explorer od verze 6 na Windows 2000 se SP6. U Mozilly a Firefoxu na verzi nezáleží, tyto prohlížeče podporují ve všech verzích šifrování až o síle 512 bitů. Tento certifikát však garantuje funkčnost pouze se šiframi o díle 256 bitů. (Nicméně máme ověřeno, že 512 bitové šifry fungují dobře, jedná se pouze o to, že případné problémy nelze reklamovat.) I u těchto certifikátů je žadatel pečlivě prověřován, takže jejich vystavení trvá minimálně týden.

  • thawte SSL123 Certificates

    thawte SSL123 Certificates

    Nejrychleji vydatelný certifikát s ověřením držitele domény

    Tyto certifikáty se označují jako „Low authenticated“, protože při jejich vystavení je pouze ověřováno, že žadatel je držitelem domény, pro kterou se certifikát vystavuje. V některých státech je možné jejich vydání během několika minut, protože údaje jsou ověřovány online v obchodních a doménových rejstřících jednotlivých zemí a thawte má s jejich provozovateli smlouvy o garanci dat. V ČR taková smlouva není, údaje jsou ověřovány ručně a certifikát je vydán zpravidla následující pracovní den po dni kdy o něj bylo požádáno, tento termín však není garantován. Vydaný certifikát neobsahuje jméno žadatele, pouze kanonické jméno serveru a poznámku, že certifikát je pouze omezeně důvěryhodný. Tyto certifikáty jsou velmi oblíbené pro svou přijatelnou cenu.

  • thawte Code Signing Certificates

    thawte Code Signing Certificates

    Certifikát pro vývojáře potřebující podepisovat svůj kód

    Ideální produkt pro toho, kdo potřebuje distribuovat ActiveX, Java applety nebo makra. Všechny současné prohlížeče před spuštěním cizího kódu požadují potvrzení uživatele a zobrazí nakolik je kód důvěryhodný. Pokud je kód podepsaný, dáváte uživateli možnost nastavit, že dodavatel je důvěryhodný a při dalších spuštěních kódu není třeba jej znovu povolovat a současně zajistíte, že uživatel si na svém počítači nespustí podvržený program, který by mu způsobil ztráty a tak chráníte sami sebe před křivým obviněním – uživatel totiž ihned podržený kód rozpozná, protože nebude mít žádný a nebo platný podpis. I u tohoto certifikátu je žadatel pečlivě ověřován a tak jeho vystavení trvá minimálně týden.

Certifikát Symantec

Certifikát Symantec

Symantec nabízí 4 typy certifikátů pro SSL spojení a jeden pro podpis kódu.

Certifikáty pro SSL spojeni se liší mírou validace a minimální sílou šifry, kterou může klient použít. Existují státy, do kterých není povoleno vyvážet silné šifrování. US firmy potom do takových států musí prodávat modifikované programy, které se např. běžně spojují jen 40 nebo 56 bitovým šifrováním. V případě prohlížečů se ale jedná o softwarové omezení a pokud s takovým prohlížečem klient navštíví server vybavený "Pro" verzí certifikátu, je mu odemčeno silnější šifrování a s tímto serverem komunikuje 128 bitovým šifrováním, i když s ostatními komunikuje nadále jen tím slabým. Česká republika mezi taková státy dříve patřila, ale od Windows 2000 dále je možné používat silné šifrování bez omezení a tak není "Pro" verze pro české uživatele nadále potřebná (Windows 2000 a nižší mají zanedbatelné pokrytí).

Verze s EV (Extended Validation -- rozšířenou validací) jsou pro vzhledem k grafickému zvýraznění adresního řádku zelenou barvou výhodné pro vyšší jistotu zákazníka a navíc tím, že prohlížeč v takovém případě zobrazuje i kdo certifikát vystavil, dáváte v případě Symantecu najevo, že spolupracujete s těmi nejlepšími.

Ceník

Nabídka certifikátů

Login or register to order certificates

Product name Wildcard Support
Price Wildcard Price Wildcard Price Wildcard Price Wildcard Price Wildcard Price Wildcard Price Wildcard
Organization Validated SSL Products
Secure Site No 0 N/A 7027 N/A 12296 N/A 15920 N/A 0 N/A 0 N/A 0 N/A Order
Secure Site with EV No 0 N/A 23383 N/A 40919 N/A 0 N/A 0 N/A 0 N/A 0 N/A Order
Secure Site Pro No 0 N/A 23383 N/A 40919 N/A 39680 N/A 0 N/A 0 N/A 0 N/A Order
Secure Site Pro with EV No 0 N/A 35727 N/A 61646 N/A 0 N/A 0 N/A 0 N/A 0 N/A Order
SGC SuperCerts No 0 N/A 5681 N/A 9861 N/A 14155 N/A 18411 N/A 47984 N/A 0 N/A Order
SSL Web Server Certificates Yes 0 0 4677 14077 8184 24634 9405 -1 12255 -1 17584 -1 0 0 Order
SSL Web Server Certificate with EV No 0 N/A 7027 N/A 12296 N/A 0 N/A 0 N/A 0 N/A 0 N/A Order
Domain Validated SSL Products
RapidSSL Yes 11 1 3502 5852 6128 10240 7011 9462 9101 5 10384 6 17 7 Order
SSL123 No 11 N/A 3502 N/A 6128 N/A 7011 N/A 9101 N/A 10384 N/A 17 N/A Order
Code Signing Products
Thawte Code Signing Certificate No 0 N/A 7027 N/A 12296 N/A 0 N/A 0 N/A 0 N/A 0 N/A Order
Symantec Code Signing Certificate No 0 N/A 11727 N/A 20521 N/A 29316 N/A 0 N/A 0 N/A 0 N/A Order
EV certifikáty

K čemu je dobrý EV certifikát?

V době, kdy počítače nepoužívají již jen experti, ale i méně znalí uživatelé, se ukazuje, že SSL neposkytuje laikovi takovou míru zabezpečení, jako expertnímu uživateli. Smyslem certifikátu je prokázat totožnost vzdáleného serveru a expert se v takovém případě ptá, kdo je na druhé straně a kdo mi zaručuje, že ten na druhé straně je skutečně ten, za koho se vydává. Kdo je na druhé straně mi říká obsah certifikátu a tím, kdo zaručuje totožnost je certifikační autorita. Expert zná jednotlivé certifikační autority a tak ví, do jaké míry se na prokázání totožnosti může spolehnout. Pro laika je ale taková informace jednak hůře dostupná (je skryta hluboko v menu) a jednak mu připadá certifikát od Symantecu (který je v důvěryhodnosti absolutní jedničkou), stejný jako jakýkoliv jiný. Navíc výchozí instalace prohlížečů obsahují spoustu certifikačních autorit a jejich důvěryhodnost staví na stejnou míru.

Proto vznikla v roce 2005 při organizaci CA/Browser Forum iniciativa, která stanovila pevná pravidla pro práci certifikačních autorit a současně pro tvůrce prohlížečů. Certifikační autority vystavují EV certifikáty jen po skutečně zevrubném prověřění identity žadatele a tvůrci prohlížečů následně takové certifikáty zpracovávaji odlišně, především uživatel při návštěvě serveru používajícím takový certifikát vidí v oblasti adresního řádku zelený element, nebo podbarvení a na viditelném místě je zobrazeno komu byl certifikát vystaven a také kým byl vystaven. Tedy i běžný uživatel potom vidí, zda protistranu ověřil Symantec a nebo jiná certifikační autorita a je si schopen všimnout, ano tak mojí banku ověřil Symantec (který je v oblasti bankovních služeb prakticky monopolním dodavatelem certifikátů) a tady jsem přišel na jinou stránku a sice je neznám, ale vidím, že je také ověřil Symantec.

Určitou alternativou EV certifikátu je vložení loga certifikační autority na stránky chráněné SSL spojením. Tomuto logu se v angličtině říká Site Seal a je k dispozici pro všechny námi nabízené certifikáty (s výjimkou certifikátů pro podpis kódu a wildcard certifikátů). Logo se generuje dynamicky a stahuje se ze stránek Symantecu nebo Thawte, obsahuje datum vygenerování. Pro jeho použití je třeba povolit URL na kterém se bude zobrazovat a souhlasit s podmínkami užití (např. není přípustné používat logo stažené a distribuované z vlastního serveru, logo totiž při revokaci certifikátu obsahuje informaci o revokaci).