Tôi có thể xây dựng chứng chỉ SSL Xác thực mở rộng của riêng mình không?

Tôi có thể tạo bằng CA riêng và tạo chứng chỉ SSL tự ký theo cách này. Nhưng cần gì để trình duyệt hiển thị chứng chỉ là "Chứng chỉ SSL xác thực mở rộng"?

Tôi có thể tự tạo một cái và dạy trình duyệt của mình hiển thị dưới dạng EV không?

ssl-certificate https certificate

— Niels Basjes
nguồn

Bạn có thể xem cái này: blog.sidstamm.com/2009/04/roll-your-own-ev.html

— Nick

Câu trả lời:

Cách mà chứng chỉ EV SSL hoạt động là gắn một OID dành riêng cho cơ quan có thẩm quyền trong trường mở rộng chính sách chứng chỉ của chứng chỉ (đó là chứng chỉ X.509 tiêu chuẩn khác).

Như EK đã nói, các OID tham chiếu cho mỗi cơ quan được vận chuyển như một phần của kho chứng chỉ gốc của trình duyệt. Giao diện người dùng không cho phép bạn thêm CA mới và nói "đây là CA có khả năng EV và UID là abcdef".

Tôi cho rằng có thể xây dựng một trình duyệt nguồn mở từ nguồn, thêm chứng chỉ CA của riêng bạn cùng với EV oid của nó vào cửa hàng gốc, nhưng bạn chưa thực sự đạt được nhiều bằng cách làm như vậy. Trình duyệt sẽ không còn tuân thủ các nguyên tắc EV của trình duyệt CA / Browser (giới hạn các cơ quan có khả năng EV).

Wikipedia có thêm thông tin về chứng chỉ EV tại đây:

http://en.wikipedia.org/wiki/Extends_Validation_Cert ve

— James F
nguồn

Không, bạn không thể. Các gốc đáng tin cậy cho những cái này được cố định trong trình duyệt

— JamesRyan
nguồn

Điều đó chỉ có nghĩa là bạn phải sửa đổi trình duyệt. Anh ấy đặc biệt hỏi liệu anh ấy có thể "dạy trình duyệt của tôi hiển thị nó dưới dạng EV" không. Nếu đó là FireFox hoặc một trình duyệt khác có nguồn, thì anh ta có thể.

— David Schwartz

Mặc dù anh ấy thực sự đã nói 'tôi có thể dạy trình duyệt của mình không', nhưng chỉ có bạn nhìn thấy chứng chỉ của riêng bạn vì EV là hoàn toàn vô nghĩa. Vì vậy, mục đích của câu trả lời của tôi là thiết thực hơn là mang tính mô phạm. Nếu bạn muốn thực sự kén chọn, câu trả lời của tôi vẫn đúng vì biên dịch một trình duyệt hoàn toàn mới từ nguồn không dạy cho trình duyệt hiện tại của bạn. : P

— JamesRyan

Tôi không đồng ý rằng nó là vô nghĩa. Ví dụ: trong một tổ chức, thật tuyệt khi đặt nó trên mọi trình duyệt để tất cả các trang web nội bộ được công nhận.

— một số

Tại sao bạn cần chứng chỉ EV cho điều đó? Hãy nhớ điều này không bao gồm tất cả các certs, bạn vẫn có thể thêm một root đáng tin cậy cho các chứng chỉ không EV.

— JamesRyan

Họ là và họ không. Bạn luôn có thể nhập và xóa certs khỏi cửa hàng ủy quyền chứng chỉ gốc đáng tin cậy của bạn. Là quản trị viên tên miền cho tổ chức của tôi, tôi có thể đẩy các root root đến người dùng được quản lý của mình thông qua chính sách để trình duyệt của họ tin tưởng các chứng chỉ mà tôi tạo cho các máy chủ nội bộ của mình. Tôi cũng muốn biết cách ký chứng chỉ nội bộ của mình để người dùng của tôi thấy xác thực cấp độ "EV" trong chứng chỉ của họ. Mong ai đó có thể cho tôi biết những gì cần phải làm để làm điều đó.

— Erik