Ara SSL sertifikası alma

20

Alt alan sertifikalarını imzalamak için kullanmak üzere bir ara sertifika satın almak mümkün müdür? Tarayıcılar tarafından tanınmalıdır ve joker karakter sertifikası kullanamıyorum.

Arama şu ana kadar hiçbir şey yapmadı. Bu sertifikaları veren var mı?

ssl 
Alex B
kaynak
3
DigiCert Enterprise , alan adınızı önceden doğrulamanıza ve ardından büyük ölçekli alt alan adı sertifika oluşturmanıza olanak tanır. (Açıklama: DigiCert için çalışmıyorum, ancak işverenim sertifika hizmetlerini kullanıyor.)
Moshe Katz

Yanıtlar:

18

Sorun şu anda kullanılan altyapı ve uygulamanın sadece bazı (alt) alanlarla sınırlı ara sertifikaları desteklememesidir. Bu, aslında, herhangi bir sertifikayı imzalamak için herhangi bir ara sertifikayı kullanabileceğiniz ve sahip olmadığınız etki alanlarına yönelik sertifikalar olsa bile tarayıcıların ona güveneceği anlamına gelir.

Bu nedenle, bu tür ara sertifikalar, ne olursa olsun, sadece gerçekten güvenilir kuruluşlara verilir (ancak muhtemelen çok para vardır).

Steffen Ullrich
kaynak
9
Evet, Comodo veya DigiNotar gibi gerçekten güvenilir organizasyonlar . Veya VeriSign ("Microsoft sertifikası arıyorum ..." / "Buyrun"). TÜRKTRUST , Digicert Sdn. Bhd , ...
basic6
Aslında hayır - kendi köklerini ve ara maddelerini işletiyorlar. Kökün değiştirilmesi karmaşıktır - bu nedenle normalde yapılan şey SADECE bir ara CA sertifikası imzalamak ve ardından kök ca'yı çevrimdışı duruma getirmek için bir kök sertifika kullanmaktır. ;)
TomTom
Belirli bir nedenden ötürü google'dan seçim yapmak, ancak ara CA'ya sahip oldukları ve certs satmadıkları için, TLS üzerinden SMTP yapan bir çift ana bilgisayar arasında MITM için hızlı bir algılama olmadan çalınması ve kötüye kullanılması makul bir şanstır. Google tarafından verilen bir SMTP bağlantısı için bir sertifika değiştirilirse, birkaç sistem yöneticisinin çok fazla düşünmeyeceğinden şüpheleniyorum.
Phil Lello
... Gerçekten de, bir işletme e-posta için google uygulamalarına geçtiğinde bu olabilir.
Phil Lello
Aslında mevcut PKI bunu açıkça desteklemektedir. RFC 5280 bölümü, hangi etki alanları için oluşturabilecekleriyle ilgili kısıtlamalar içeren bir ara CA oluşturulmasına izin veren Ad Kısıtlamaları uzantısını tanımlar. Sorun şu ki, neredeyse hiç uygulanmadı.
Jake
7

Hayır, çünkü bu orijinal sertifikanın ihlali anlamına gelir - tarayıcılar sertifikalarınıza güvenir ve google.com vb. İçin bir şeyler yayınlamaya başlayabilirsiniz - ve bunu akıllı yaparsanız, kolayca elde edemezsiniz.

Ara Sertifika Yetkilileri çok fazla güce sahiptir. Bir ara CA, kök sertifika aracılığıyla güvenilen bir sertifika imzalama yetkilisidir ve şartnamedeki hiçbir şey alt CA'nın sınırlandırılmasına izin vermez.

Bu itibarla, size hiçbir saygın sertifika kuruluşu bir tane vermeyecektir.

TomTom
kaynak
3
Tabii ama ara sertifika kapsamını (örneğin tek bir etki alanı) sınırlandırabileceğine dair bir izlenim edindim. Başka bir cevap, durumun böyle olmadığı anlamına geliyor.
Alex B
1
Durum böyle değil. Bir ara CA, kök sertifika aracılığıyla güvenilen bir sertifika imzalama yetkilisidir ve şartnamedeki hiçbir şey alt CA'nın sınırlanmasına izin vermez.
TomTom
@TomTom: İyi açıklama. Cevabınızı yorumunuzu düzenleme özgürlüğünü aldım.
sleske
@alexb Spesifikasyonun buna izin verdiğine inanıyorum, ancak bunu desteklemek için istemci uygulamalarına güvenemezsiniz. Ne yazık ki bir referans bulamıyorum ama kendime oldukça güveniyorum.
Phil Lello
5

GeoTrust'tan geçerli bir CA satın almak mümkün / mümkün.

Ürünü İngilizce sayfalarda bulamadım, ancak burada arşivlenmiş bir sürüm var:

http://archive.is/q01DZ

GeoRoot'u satın almak için aşağıdaki minimum gereksinimleri karşılamanız gerekir:

  • Net değeri 5 milyon ABD doları veya daha fazla
  • Hatalar ve Eksiklikler sigortasında minimum 5 milyon dolar
  • Ana Sözleşme (veya benzeri) ve verilen sertifika belgesi
  • Yazılı ve sürdürülen bir Sertifika Uygulama Bildirimi (CPS)
  • Kök sertifika anahtarlarınızı oluşturmak ve depolamak için FIPS 140-2 Seviye 2 uyumlu bir cihaz (GeoTrust SafeNet, Inc. ile ortaklık kurmuştur)
  • Baltimore / Betrusted, Entrust, Microsoft, Netscape veya RSA tarafından onaylanmış bir CA ürünü

Ürün hala Almanca sayfalarında bulunmaktadır:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

moander
kaynak
4

(Bu eski bir soruya yeni bir cevap, çünkü bunun sertifikaların ve CA'nın arkasında "sihir" olmadığını anlamaya yardımcı olduğuna inanıyorum)

@Steffen Ullrich tarafından verilen onaylanmış cevabın bir uzantısı olarak

Web sitesi şey tanımlamak için tüm sertifika sadece büyük bir para iş. X509 sertifikaları (diğerleri arasında) RFC5280 tarafından tanımlanır ve herkes bir kök CA veya bir ara CA olabilir, hepsi bu varlıkla ilgili güveninize bağlıdır.

Örneğin: Bir Active Directory etki alanındaysanız, birincil etki alanı denetleyiciniz varsayılan olarak güvenilir bir kök sertifika yetkilisidir. Bu arada, kesinlikle başka hiçbir üçüncü taraf dahil değildir.

Geniş internette, sorun sadece bir şirketten çok daha büyük olduğu için "kime güvenebileceğiniz" i tanımlamaktır. Bu nedenle, tarayıcı satıcıları, onayınızı istemeden güveneceği özel bir kök CA listesi sağlar.

Yani: Mozilla vakfı ile çok iyi bir ilişkiniz varsa, o zaman kendi keyfi olarak imzalanan kök CA'nız, Firefox tarayıcılarının bir sonraki sürümünde bu listeye eklenebilir ... Sadece karar verdikleri için!

Ayrıca, tarayıcıların sertifikalarla ilgili nasıl davranması gerektiğine ilişkin davranışı ve kuralları tanımlayan bir RFC yoktur. Bu, sertifikanın "CN" değerinin etki alanı adına eşit olması nedeniyle eşleşmesi gerektiği anlamına gelen zımni bir fikir birliğidir.

Bu bir noktada yeterli olmadığından, tarayıcı satıcılarının tümü, formun bir joker karakter sertifikasının *.domain.comherhangi bir alt etki alanıyla eşleşeceği örtük biçimde yaşlanmıştır . Ama sadece bir seviye ile eşleşir: hayır sub.sub.domain.comneden bu? Çünkü sadece karar verdiler.

Şimdi orijinal sorunuzla ilgili olarak, birincil alan adı sertifikanızın kendi alt alan adlarınız için alt sertifikalar oluşturmasına izin verilmesini engelleyen şey, tarayıcının kontrol etmesi kolay bir işlemdir, sadece sertifika zincirini alır.

Cevap: hiçbir şey

(teknik olarak bunu yapmak için kendi alan adı sertifikanızda bir "işaretinizin" olması gerekir)

Broswers satıcıları, bunu yeterince uygun bulurlarsa desteklemeye karar verebilirler.

Ancak, ilk ifademe geri dönersek, bu büyük para işi. Dolayısıyla, tarayıcı satıcılarıyla anlaşmaları olan bu birkaç kök CA, bu listede görünmek için büyük miktarda para harcıyor. Ve bugün, bu parayı geri alıyorlar çünkü her bir alt alan sertifikası için ödeme yapmanız veya çok daha pahalı bir joker karakter almanız gerekiyor. Kendi alt alan adı sertifikalarınızı oluşturmanıza izin verdiyse, bu, kârlarını muazzam bir şekilde azaltacaktır. Bu yüzden bugün itibariyle bunu yapamazsınız.

Eh, hala geçerli, çünkü kesinlikle geçerli x509 sertifikaları olurdu, ancak herhangi bir tarayıcı bunu tanıyamaz.

Simon
kaynak
AD örneğinizle küçük nitpick. Active Directory tek başına aslında bir PKI altyapısı kullanmaz veya içermez. Bunu ayrı olarak döndürmeniz ve isteğe bağlı olarak etki alanını zincire güvenecek şekilde yapılandırmanız ve daha sonra etki alanı denetleyicileri için sertifikalar oluşturmanız gerekir. Aksi takdirde, iyi cevap.
Ryan Bolger
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.