Soru Ara SSL sertifikası almak


Alt alan adı sertifikalarını imzalamak için kullanmak için bir ara sertifika almak mümkün mü? Tarayıcı tarafından tanınmalı ve joker sertifika kullanamıyorum.

Arama şu ana kadar hiç bir şey ifade etmedi. Bu sertifikaları veren var mı?


19
2018-06-17 05:36


Menşei


DigiCert Enterprise Alanınızı önceden doğrulamanıza ve ardından büyük ölçekli alt alan sertifika oluşturmanıza olanak tanır. (Açıklama: DigiCert için çalışmıyorum, ancak işverenim sertifika hizmetlerini kullanıyor.) - Moshe Katz


Cevaplar:


Sorun şu ki, şu an kullanılan altyapı ve uygulama sadece bazı (alt) alanlarla sınırlı olan ara sertifikaları desteklememektedir. Bu, aslında, istediğiniz sertifikayı imzalamak için herhangi bir ara sertifikayı kullanabileceğiniz ve sahip olmadığınız etki alanlarının sertifikaları olsa bile tarayıcıların güvenebileceği anlamına gelir.

Böylelikle, bu tür ara sertifikalar, gerçekten güvenilir kurumlara verilmiş olup, bunun anlamı ne olursa olsun (ama çok fazla parayla ilgili olabilir).


16
2018-06-17 07:21



Evet, gerçekten güvenilir gibi kuruluşlar Comodo veya DigiNotar. Veya VeriSign ("Bir Microsoft sertifikasını arıyorum ..." / "İşte siz gidin"). TÜRKTRUST, Digicert Sdn. Bhd... - basic6
Aslında hayır - kendi köklerini ve aralarını çalıştırıyorlar. Kökünü değiştirmek karmaşıktır - yani normalde yapılan bir şey, bir ara CA sertifikasını imzalamak ve daha sonra root ca'yı çevrimdışı yapmak için SADECE bir kök sertifika kullanmaktır. ;) - TomTom
Özel bir nedeni google Picking, ancak bir ara CA ve certs satmıyoruz beri, makul bir şans o TLS üzerinden SMTP yapıyor barındıran bir çifti arasında MiTM için hızlı tespiti olmadan çalınmış ve istismar edilebilir var. Google tarafından yayınlanan bir SMTP bağlantısı için bir sertifika değiştiyse, birkaç tane sysadmin'in çok fazla düşünemeyeceğini düşünüyorum. - Phil Lello
... Gerçekten de, bir işletme e-posta için google uygulamalarına geçtiğinde böyle bir şey olabilir. - Phil Lello
Aslında mevcut PKI bunu açıkça destekliyor. RFC 5280 bölümü, hangi aralıklar için oluşturabilecekleri konusunda kısıtlamalara sahip bir ara CA'nın oluşturulmasına izin veren Ad Kısıtlamaları uzantısını tanımlar. Sorun pratikte hiç uygulanmadı. - Jake


Hayır, çünkü orijinal sertifikanın ihlali olur - tarayıcılar sertifikalarınıza güvenirdi ve google.com vb. İçin bir şeyler yayınlamaya başlayabilirsiniz - ve bu kadar akıllısanız, elde etmek kolay olmaz.

Orta Sertifika Yetkilileri çok fazla güce sahiptir. Bir ara CA bir sertifika imzalama otoritesidir - kök sertifika aracılığıyla güvenilen - ve belirtimdeki hiçbir şey alt CA'yu sınırlandırmaya izin vermez.

Bu nedenle, saygın bir sertifika kuruluşu size bir tane vermeyecektir.


7
2018-06-17 05:59



Elbette, ancak ara sertifika kapsamını (örneğin, tek bir alana) sınırlayabileceğiniz izlenimindeydim. Başka bir cevap, durumun böyle olmadığını ima ediyor gibi görünüyor. - Alex B
Durum böyle değil. Bir ara CA bir sertifika imzalama otoritesidir - kök sertifika aracılığıyla güvenilen - ve belirtimdeki hiçbir şey alt CA'yu sınırlandırmaya izin vermez. - TomTom
@ TomTom: İyi bir açıklama. Yorumunuzu cevabınıza düzenleme özgürlüğünü aldım. - sleske
@alexb Bunun bir spekülasyona izin verdiğine inanıyorum ama bunu desteklemek için istemci uygulamalarına güvenemezsiniz. Ne yazık ki referans bulamıyorum ama oldukça eminim. - Phil Lello


GeoTrust'tan geçerli bir CA satın almak mümkün oldu.

Ürünü İngilizce sayfalarda bulamadım ancak burada arşivlenmiş bir sürüm var:

http://archive.is/q01DZ

GeoRoot'u satın almak için aşağıdaki minimum gereksinimleri karşılamanız gerekir:

  • Net değeri 5 milyon dolar veya üstü
  • Hata ve ihmal sigortasında en az 5 milyon dolar
  • Şirket Esas Sözleşmesi (ya da benzeri) ve bir görev belgesi
  • Yazılı ve bakımı yapılmış bir Sertifika Uygulaması Beyanı (CPS)
  • Kök sertifika anahtarlarınızı oluşturmak ve saklamak için FIPS 140-2 Düzey 2 uyumlu bir cihaz (GeoTrust SafeNet, Inc. ile ortaklık kurmuştur)
  • Baltimore / Betrusted, Entrust, Microsoft, Netscape veya RSA'dan onaylı bir CA ürünü

Ürün hala Alman sayfasında mevcuttur:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/


5
2018-06-11 23:18





(Bu eski bir soruya verilen yeni bir cevaptır çünkü bu, sertifikaların ve CA'nın arkasında "sihir" olmadığını anladığına inanıyorum)

@Steffen Ullrich tarafından verilen onaylanmış cevabın bir uzantısı olarak

Web siteleri şey belirlemek için tüm sertifika sadece büyük bir para iştir. X509 sertifikaları (diğerleri arasında) tarafından tanımlanmıştır RFC5280 ve herkes bir kök CA veya bir ara CA olabilir, tüm bu varlıkla ilgili sahip olduğunuz güvene bağlıdır.

Örneğin: Bir Active Directory etki alanındaysanız, birincil etki alanı denetleyiciniz varsayılan olarak güvenilir bir kök sertifika yetkilisidir. Bu arada, kesinlikle başka üçüncü taraflar da yoktur.

Geniş internette, konu “kim güvenebileceğinize” karar vermek, çünkü tek bir şirketten çok daha büyük. Bu nedenle, tarayıcı satıcıları sizin rızanızı istemeden güvenebileceği özel bir kök CA listesi sunar.

Mozilla vakıf ile çok iyi bir ilişki varsa yani .:, sonra kendi keyfi kendinden imzalı kök CA onlar karar diye ... Onların Firefox tarayıcısının bir sonraki sürümü o listeye eklenebilir olabilir!

Ayrıca, tarayıcıların sertifikalarla ilgili nasıl davranması gerektiği ile ilgili kuralları ve kuralları tanımlayan bir RFC yoktur. Bu, sertifikanın "CN" ünkü alan adıyla eşleşmesi ve eşleşmesi gerektiği ima edilen bir uzlaşmadır.

Bu bir noktada yeterli olmadığı için, tarayıcı satıcıları gizli bir şekilde joker karakter formunu onayladılar. *.domain.com herhangi bir alt alanla eşleşir. Ama sadece bir seviye ile uyuşuyor: hayır sub.sub.domain.com Neden ? Çünkü sadece karar verdiler.

Şimdi asıl sorunuzla ilgili olarak, birincil alan sertifikanızın kendi alt alanlarınız için alt sertifikalar oluşturmasına izin verilmesini engelleyin; bu, tarayıcının kontrol etmesi için kolay bir işlemdir. Sertifika zincirini almanız yeterlidir.

Cevap: hiçbir şey

(teknik olarak bunu yapmak için kendi alan adı sertifikanızda "bayrak" olmalıdır)

Broşür satıcıları, eğer yeterince uygun bulurlarsa, bunu desteklemeye karar verebilirler.

Ancak, ilk ifademe dönersek, bu büyük para işidir. Bu yüzden, tarayıcı satıcılarıyla anlaşma yapan bu birkaç kök CA, o listede görünecek büyük miktarda para harcıyor. Ve bugün, bu parayı geri alıyorlar çünkü her bir subdomain sertifikasını ödemek zorundasınız ya da çok daha pahalı olan bir joker olsun. Kendi subdomain sertifikalarınızı oluşturmanıza izin verdiyse, bu büyük ölçüde kârlarını azaltacaktır. Bu yüzden bugün itibariyle, bunu yapamazsınız.

Eh, hala yapabilirsiniz, çünkü kesinlikle geçerli bir x509 sertifikası olacaktır, ancak herhangi bir tarayıcı onu tanıyamaz.


4
2018-06-09 18:26



AD örneğinizle küçük nitpick. Active Directory'nin kendisi aslında bir PKI altyapısı kullanmıyor veya içermiyor. Bunu ayrı ayrı döndürmelisiniz ve isteğe bağlı olarak etki alanına zinciri güvenecek şekilde yapılandırmanız ve daha sonra etki alanı denetleyicileri için sertifikalar oluşturmanız gerekir. Aksi halde, iyi cevap. - Ryan Bolger