Posso essere la mia CA di fiducia tramite un certificato intermedio firmato?


23

Posso ottenere un certificato da una CA principale che posso quindi utilizzare per firmare i miei certificati del server Web? Vorrei, se possibile, utilizzare un certificato firmato come intermedio per firmare altri certificati.

So che dovrei configurare i miei sistemi in un certo modo con il "mio" certificato intermedio per fornire informazioni sulla catena di fiducia ai miei clienti.

È possibile? Le CA principali sono disposte a firmare un certificato come questo? È costoso?

SFONDO

Conosco le basi di SSL in quanto riguarda la protezione del traffico Web su HTTP. Ho anche una conoscenza di base del modo in cui funziona la catena di fiducia, in quanto il traffico Web è protetto "per impostazione predefinita" se si crittografa con un certificato che ha una catena valida fino a una CA principale, come determinato dal browser / Fornitore del sistema operativo.

Sono anche consapevole del fatto che molte delle CA principali hanno iniziato a firmare certificati per utenti finali (come me) con certificati intermedi. Ciò potrebbe richiedere un po 'più di configurazione da parte mia, ma per il resto, quei certificati funzioneranno bene. Immagino che ciò abbia a che fare con la protezione della loro preziosa chiave privata per la CA e il disastro che sarebbe se venissi mai compromesso.

ESEMPI

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Ora, sicuramente non abbiamo le dimensioni di nessuna di quelle organizzazioni, ma sembrano fare qualcosa del genere. Renderebbe sicuramente molto più appetibile la gestione di questi certificati, soprattutto considerando un modo in cui stiamo espandendo la portata della nostra piattaforma di e-commerce.

Risposte:


9

La tua domanda si legge per me e per gli altri come "Come posso rilasciare certificati a entità all'interno e all'esterno della mia organizzazione che sono considerate affidabili da utenti Internet arbitrari?"

Se questa è la tua domanda, allora la risposta è "Tu no". In caso contrario, chiarire.

Consiglio inoltre di leggere "PKI di Windows Server 2008 e sicurezza dei certificati di Brian Komar" e prendere in considerazione tutti i vari scenari PKI per le vostre applicazioni. Non è necessario utilizzare la CA di Microsoft per ottenere qualcosa dal libro.


Apprezzo l'input, ma penso che gli esempi che ho citato stabiliscano la parte "Tu non" della tua affermazione come errata. Guarda la catena di fiducia per quei certificati e vedrai che esiste un certificato specifico per l'azienda tra la CA principale (distribuita con browser / sistema operativo) e il certificato che il web server sta utilizzando per crittografare il traffico HTTPS.
Clint Miller,

13
Non è solo un certificato. Sun / Microsoft / Dell gestisce una CA intermedia. La gestione di un'Autorità di certificazione pubblica è un compito costoso e complicato che richiede un controllo esterno periodico. Il libro di Komar spiega una serie di scenari di CA e illustra perché è così complesso. Se la progettazione delle applicazioni ti sta guidando lungo la strada per diventare una CA, devi riflettere a lungo sugli obiettivi di progettazione e sulla strategia di implementazione.
Duffbeer703,


3

Se potessi farlo, cosa impedirà a Joe Malware di emettere un certificato per www.microsoft.com e darti il ​​suo marchio "speciale" di aggiornamenti attraverso un dirottamento DNS?

FWIW, ecco come ottenere il certificato di root incluso da Microsoft nel sistema operativo:

http://technet.microsoft.com/en-us/library/cc751157.aspx

I requisiti sono piuttosto ripidi.


Bene, 2 cose, suppongo. 1. È ovvio che nessuna CA principale mi consentirà di firmare certificati per altre entità che non fanno parte della mia organizzazione. Potrebbero non essere in grado di impedirmi di farlo una volta, ma non passerà molto tempo prima che il certificato che hanno firmato per me sia sugli elenchi di revoca e quindi sarà tutto finito. 2. Ancora più significativo, quali sono le tecniche di scala "globale" per il dirottamento del DNS? Il problema dell'avvelenamento da cache reso famoso da Kaminsky è stato corretto dai fornitori DNS, giusto?
Clint Miller,

Se tutti i certificati di cui stai parlando appartengono alla tua organizzazione, si trovano nello stesso dominio di primo livello? In tal caso, un certificato SSL jolly (* .mydomain.com) potrebbe essere una strategia migliore.
Tim Howland,

Purtroppo ho più domini da proteggere, quindi il carattere jolly (che era la strategia iniziale) non funzionerà per noi poiché abbiamo ampliato la nostra attività ai casi in cui si desidera un dominio diverso. La mia soluzione per ora è SAN certs (nomi alternativi soggetto), ma è piuttosto doloroso creare un nuovo certificato per ogni aggiunta / eliminazione di un altro dominio.
Clint Miller,

2

Ciò è fondamentalmente indistinguibile dal diventare un rivenditore per quella CA principale, che quasi certamente costa molto sforzo e denaro per essere. Questo perché, come nota Tim, puoi creare un certificato valido per qualsiasi dominio, cosa che non dovrebbe essere consentita se non controlli quel dominio.

Un'alternativa è il programma di rivenditori RapidSSL in cui svolgono tutto il duro lavoro e rilasciano dalla loro CA principale.


2
Non potrei essere più in disaccordo! Non voglio rivendere i certificati agli altri. Voglio semplificare la gestione della sicurezza delle comunicazioni all'interno della nostra attività e tra la nostra attività e i nostri clienti. Tim ha fatto una domanda legittima, ma penso che ti stia perdendo il punto.
Clint Miller,

3
Lo sto guardando dal punto di vista della CA - per loro, quello che stai chiedendo è diventare una CA a tutti gli effetti, il che è abbastanza rischioso per loro - solo perché dici che non vuoi fare certs per gli altri non significa che non avrai la capacità tecnica di farlo, quindi vorranno controlli seri per assicurarti di no.
TRS-80,

2

Ponetevi queste due domande:

  1. Ti fidi dei tuoi utenti di importare correttamente i certificati di root nel loro browser?
  2. Hai le risorse per collaborare con una CA radice esistente?

Se la risposta è sì a 1, CAcert ha risolto il problema per te. Se la risposta a 2 è sì, guarda l'elenco dei certificati radice attendibili forniti con OpenSSL, Firefox, IE e Safari e trova uno per firmare il tuo certificato intermediario.


2

Penso che faresti meglio a ottenere un certificato con caratteri jolly dalla CA, in questo modo puoi utilizzare lo stesso certificato su qualsiasi sottodominio del tuo dominio principale, ma non puoi emettere certificati per nient'altro.


1

È possibile che un'autorità di certificazione radice emetta un certificato che consenta di emettere altri certificati, ma solo sotto un dominio specifico. Devono impostare basicConstraints / CA: true e nameConstraints / consentiti; DNS.0 = example.com

Quindi sei libero di gestire la tua CA e rilascia certificati come test.example.com (ma non test.foobar.com ) che a loro volta saranno ritenuti affidabili dal web pubblico. Non conosco alcuna CA principale che fornisce questo servizio, ma è davvero possibile. Se qualcuno si imbatte in un tale fornitore, per favore fatemelo sapere.



0

So che questo è un vecchio post, ma stavo cercando a lungo e duramente qualcosa di quasi identico a questo. Facendo eco da alcuni altri post ... è possibile ... tutto sia abbastanza costoso e difficile da stabilire. Questo articolo è un po 'utile nel "chi lo fa" e nel generale "cosa è coinvolto" ....

https://aboutssl.org/types-of-root-signing-certificates/

Per quanto riguarda alcuni extra che ho raccolto da alcune fonti sparse ... alcuni dei requisiti hanno "equità sostanziale" e "assicurazione" ... di cui ho trovato di essere quotati ovunque da $ 1 M a $ 5 M a seconda della fonte. Quindi, inutile dirlo, questa non è un'opzione per una piccola impresa.

Inoltre, ho visto post che affermano che in genere ci vorrà quasi un anno per soddisfare tutti i requisiti e passare attraverso tutti i circuiti di controllo. Inoltre, i costi accessori associati all'intero processo possono variare da $ 100k a + $ 1M a seconda dei costi generali del contraente + legale + della manodopera e del numero di periodi di audit che si verificano. Quindi, ancora una volta, non è un'impresa per una piccola impresa.

Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.