Nhận chứng chỉ SSL trung gian

20

Có thể mua chứng chỉ trung gian để sử dụng nó để ký chứng chỉ tên miền phụ? Nó phải được các trình duyệt nhận ra và tôi không thể sử dụng chứng chỉ ký tự đại diện.

Các tìm kiếm bật lên không có gì cho đến nay. Có ai cấp giấy chứng nhận như vậy?

ssl 
Alex B
nguồn
3
DigiCert Enterprise cho phép bạn xác thực trước tên miền của mình và sau đó thực hiện tạo chứng chỉ tên miền phụ quy mô lớn. (Tiết lộ: Tôi không làm việc cho DigiCert, nhưng chủ nhân của tôi sử dụng dịch vụ chứng chỉ của họ.)
Moshe Katz

Câu trả lời:

18

Vấn đề là, cơ sở hạ tầng và việc triển khai hiện đang sử dụng không hỗ trợ các chứng chỉ trung gian chỉ giới hạn ở một số tên miền (phụ). Điều này, về hiệu quả, có nghĩa là bạn có thể sử dụng bất kỳ chứng chỉ trung gian nào để ký bất kỳ chứng chỉ nào bạn muốn và các trình duyệt sẽ tin tưởng nó, ngay cả khi đây sẽ là chứng chỉ cho các tên miền bạn không sở hữu.

Do đó, các chứng chỉ trung gian như vậy chỉ được trao cho các tổ chức thực sự đáng tin cậy, bất kể điều này có nghĩa là gì (nhưng rất nhiều tiền có thể liên quan).

Steffen Ullrich
nguồn
9
Vâng, các tổ chức thực sự đáng tin cậy như Comodo hoặc DigiNotar . Hoặc VeriSign ("Tôi đang tìm kiếm chứng chỉ của Microsoft ..." / "Ở đây bạn đi"). Thổ Nhĩ Kỳ , Digicert Sdn. Bhd , ...
bản6
Trên thực tế không - họ chạy gốc và trung gian của riêng họ. Việc thay thế root rất phức tạp - vì vậy những gì thường được thực hiện là chỉ sử dụng chứng chỉ gốc để ký chứng chỉ CA trung gian, sau đó lấy root ca ngoại tuyến. ;)
TomTom
Chọn trên google không có lý do cụ thể, nhưng vì họ có CA trung gian và không bán certs, nên có khả năng hợp lý nó có thể bị đánh cắp và lạm dụng mà không phát hiện nhanh MITM giữa một cặp máy chủ thực hiện SMTP qua TLS. Tôi nghi ngờ rằng khá nhiều sysadins sẽ không nghĩ quá nhiều nếu một chứng chỉ đã thay đổi kết nối SMTP thành một kết nối do google cấp.
Phil Lello
... Thật vậy, đây có thể là điều xảy ra khi một doanh nghiệp chuyển sang ứng dụng google cho email.
Phil Lello
Trên thực tế PKI hiện tại hỗ trợ rõ ràng điều này. Phần RFC 5280 xác định phần mở rộng ràng buộc tên cho phép tạo CA trung gian với các hạn chế về tên miền mà chúng có thể tạo. Vấn đề là thực tế nó không bao giờ được thực hiện.
Jake
7

Không, bởi vì nó sẽ vi phạm chứng chỉ gốc - các trình duyệt sẽ tin tưởng vào chứng chỉ của bạn và bạn có thể bắt đầu phát hành nội dung cho google.com, v.v. - và nếu bạn làm điều đó thông minh, bạn sẽ không dễ dàng có được.

Cơ quan cấp chứng chỉ trung cấp có rất nhiều quyền lực. CA trung gian là cơ quan ký chứng chỉ - được tin cậy thông qua chứng chỉ gốc - và không có gì trong đặc tả cho phép giới hạn CA cấp dưới.

Như vậy, không có tổ chức chứng chỉ uy tín nào sẽ cung cấp cho bạn.

TomTom
nguồn
3
Chắc chắn nhưng tôi đã có ấn tượng rằng bạn có thể giới hạn phạm vi chứng chỉ trung gian (ví dụ: cho một tên miền duy nhất). Một câu trả lời khác dường như ngụ ý rằng đó không phải là trường hợp.
Alex B
1
Thực tế không phải là như vậy. CA trung gian là cơ quan ký chứng chỉ - được tin cậy thông qua chứng chỉ gốc - và không có gì trong đặc tả cho phép giới hạn CA cấp dưới.
TomTom
@TomTom: Giải thích tốt. Tôi đã tự do chỉnh sửa nhận xét của bạn vào câu trả lời của bạn.
sleske
@alexb Tôi tin rằng đó là trường hợp của thông số kỹ thuật cho phép nhưng bạn không thể dựa vào triển khai của khách hàng để hỗ trợ nó. Thật không may, tôi không thể tìm thấy một tài liệu tham khảo nhưng khá tự tin.
Phil Lello
5

Có thể / đã mua một CA hợp lệ từ GeoTrust.

Tôi không thể tìm thấy sản phẩm trên các trang tiếng Anh, nhưng đây là phiên bản lưu trữ:

http://archive.is/q01DZ

Để mua GeoRoot, bạn phải đáp ứng các yêu cầu tối thiểu sau:

  • Giá trị ròng từ 5 triệu đô la trở lên
  • Tối thiểu 5 triệu đô la bảo hiểm lỗi và thiếu sót
  • Các bài viết về Thành lập (hoặc tương tự) và chứng nhận đương nhiệm được cung cấp
  • Một tuyên bố thực hành chứng chỉ bằng văn bản và duy trì (CPS)
  • Thiết bị tuân thủ Trin 140-2 Cấp 2 (GeoTrust đã hợp tác với SafeNet, Inc.) để tạo khóa và lưu trữ khóa chứng chỉ gốc của bạn
  • Một sản phẩm CA được phê duyệt từ Baltimore / Betrusty, Entrust, Microsoft, Netscape hoặc RSA

Sản phẩm vẫn có sẵn trên trang tiếng Đức của họ:

http://www.geotrust.com/de/enterprise-ssl-certert/georoot/

rên rỉ
nguồn
4

(Đây là một câu trả lời mới cho một câu hỏi cũ bởi vì tôi tin rằng điều này giúp hiểu rằng không có "phép thuật" đằng sau chứng chỉ và CA)

Là một phần mở rộng của câu trả lời được phê duyệt được đưa ra bởi @Steffen Ullrich

Toàn bộ chứng chỉ để xác định trang web điều chỉ là một doanh nghiệp tiền lớn. Chứng chỉ X509 được xác định (trong số những người khác) bởi RFC5280 và bất kỳ ai cũng có thể là CA gốc hoặc CA trung gian, tất cả phụ thuộc vào sự tin tưởng mà bạn có đối với thực thể đó.

Ví dụ: Nếu bạn đang ở trong miền Active Directory, thì bộ điều khiển miền chính của bạn là cơ quan chứng nhận gốc đáng tin cậy theo mặc định. Trong khi đó, hoàn toàn không có bên thứ ba nào khác tham gia.

Trên Internet rộng lớn, vấn đề là xác định "bạn có thể tin tưởng ai" bởi vì nó lớn hơn nhiều so với chỉ một công ty. Và do đó, các nhà cung cấp trình duyệt cung cấp một danh sách tùy chỉnh CA gốc mà họ sẽ tin tưởng mà không cần sự đồng ý của bạn.

Tức là: Nếu bạn có mối quan hệ rất tốt với nền tảng Mozilla, thì CA gốc tự ký tùy ý của bạn có thể được thêm vào danh sách đó trong bản phát hành tiếp theo của trình duyệt Firefox của họ ... Chỉ vì họ quyết định điều đó!

Hơn nữa, không có RFC xác định hành vi và các quy tắc về cách các trình duyệt nên hành xử liên quan đến các chứng chỉ. Đây là một sự đồng thuận ngụ ý rằng vì "CN" của chứng chỉ bằng với tên miền, nên nó được coi là phù hợp.

Bởi vì điều này không đủ tại một số điểm, tất cả các nhà cung cấp trình duyệt đều mặc nhiên rằng chứng chỉ ký tự đại diện của biểu mẫu *.domain.comsẽ khớp với bất kỳ tên miền phụ nào. Nhưng nó chỉ phù hợp với một cấp độ: không sub.sub.domain.comtại sao vậy? Vì họ mới quyết định như vậy.

Bây giờ về câu hỏi ban đầu của bạn, điều gì sẽ ngăn chứng chỉ tên miền chính của bạn được phép tạo chứng chỉ phụ cho tên miền phụ của riêng bạn, đó là một quá trình dễ dàng để trình duyệt kiểm tra, chỉ cần lấy chuỗi chứng chỉ.

Câu trả lời là: không có gì

(ngoại trừ về mặt kỹ thuật, bạn nên có một "cờ" trong chứng chỉ miền của riêng mình để làm điều đó)

Các nhà cung cấp broswers, nếu họ thấy điều này đủ thuận tiện, có thể quyết định hỗ trợ nó.

Tuy nhiên, trở lại với tuyên bố đầu tiên của tôi, đây là kinh doanh tiền lớn. Vì vậy, một vài CA gốc có thỏa thuận với các nhà cung cấp trình duyệt đang chi tiêu số tiền lớn để xuất hiện trong danh sách đó. Và ngày nay, họ lấy lại số tiền đó vì bạn phải trả tiền cho mỗi chứng chỉ tên miền phụ riêng lẻ hoặc nhận được một ký tự đại diện đắt hơn nhiều. Nếu họ cho phép bạn tạo chứng chỉ tên miền phụ của riêng bạn, điều này sẽ làm giảm đáng kể lợi nhuận của họ. Vì vậy, đây là lý do tại sao như ngày nay, bạn không thể làm điều đó.

Chà, bạn vẫn có thể, bởi vì nó hoàn toàn là chứng chỉ x509 hợp lệ, nhưng không phải trình duyệt nào cũng nhận ra nó.

Simon
nguồn
Tiểu nitlog với ví dụ AD của bạn. Bản thân Active Directory không thực sự sử dụng hoặc chứa cơ sở hạ tầng PKI. Bạn phải quay vòng riêng biệt và tùy ý cấu hình tên miền để tin tưởng chuỗi và sau đó tạo certs cho bộ điều khiển miền. Nếu không, câu trả lời tốt.
Ryan Bolger
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.