Posso creare il mio certificato SSL Extended Validation?

Posso creare dalla propria CA e generare un certificato SSL autofirmato in questo modo. Ma cosa serve per fare in modo che il browser mostri il certificato come "Certificato SSL di convalida estesa"?

Posso crearne uno io stesso e insegnare al mio browser a mostrarlo come EV?

ssl-certificate https certificate

— Niels Basjes
fonte

Potresti dare un'occhiata a questo: blog.sidstamm.com/2009/04/roll-your-own-ev.html

— Nick,

Risposte:

Il modo in cui funzionano i certificati SSL EV è di applicare un OID specifico dell'autorità nel campo di estensione delle politiche di certificazione del certificato (che altrimenti è un certificato X.509 standard).

Come ha detto EK, gli OID di riferimento per ciascuna autorità vengono spediti come parte dell'archivio principale dei certificati del browser. Le interfacce utente non ti consentono di aggiungere una nuova CA e dire "questa è una CA con funzionalità EV e l'UID è abcdef".

Suppongo che potrebbe essere possibile costruire un browser open-source dalla fonte, aggiungendo il certificato della propria CA insieme al suo oid EV all'archivio principale, ma in questo modo non si è ottenuto molto. Il browser non sarebbe più conforme alle linee guida EV del forum CA / Browser (che limitano le autorità abilitate EV).

Wikipedia ha maggiori informazioni sui certificati EV qui:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

— James F
fonte

No non puoi. Le radici attendibili per questi sono corrette all'interno del browser

— JamesRyan
fonte

Ciò significa solo che devi modificare il browser. Ha specificamente chiesto se potesse "insegnare al mio browser a mostrarlo come EV". Se è FireFox o un altro browser la cui fonte è disponibile, allora può farlo.

— David Schwartz,

Mentre in realtà ha detto "posso insegnare al mio browser", solo tu vedi il tuo certificato come EV è del tutto inutile. Quindi lo scopo della mia risposta era di essere pratico piuttosto che pedante. Se vuoi essere davvero esigente la mia risposta è ancora corretta perché compilare un browser completamente nuovo dalla fonte non sta insegnando il tuo browser esistente. : P

— JamesRyan,

Non sono d'accordo sul fatto che sia inutile. Ad esempio, in un'organizzazione sarebbe bello metterlo su ogni browser per far riconoscere tutti i siti interni.

— circa

Perché avresti bisogno di un certificato EV per questo? Ricorda che questo non copre tutti i certificati, puoi comunque aggiungere una radice attendibile per i certificati non EV.

— JamesRyan,

Lo sono e non lo sono. Puoi sempre importare e rimuovere certificati dal tuo archivio di autorità di certificazione radice attendibile. Come amministratore di dominio per la mia organizzazione, posso inviare i certificati root ai miei utenti gestiti attraverso i criteri in modo che i loro browser si fidino dei certificati generati per i miei server interni. Ho troppo piacerebbe sapere come firmare i certificati interni in modo che i miei utenti vedono "EV" di convalida dei livelli nei loro certificati. Vorrei che qualcuno potesse dirmi cosa bisogna fare per farlo.

— Erik,