Posso ser minha própria CA confiável por meio de um certificado intermediário assinado?

Navegue suas respostas
23

Posso obter um certificado de uma CA raiz que eu possa usar para assinar meus próprios certificados de servidor da web? Eu, se possível, usaria um certificado assinado como intermediário para assinar outros certificados.

Eu sei que teria que configurar meus sistemas de uma determinada maneira com o "meu" certificado intermediário para fornecer informações sobre a cadeia de confiança para meus clientes.

Isso é possível? As CAs raiz estão dispostas a assinar um certificado como este? É caro?

ANTECEDENTES

Estou familiarizado com os princípios básicos do SSL no que se refere à proteção do tráfego da Web em HTTP. Eu também tenho uma compreensão básica da forma como a cadeia de confiança funciona, em que o tráfego da web é protegido "por padrão" se você criptografar com um certificado que tenha uma cadeia válida por uma CA raiz, conforme determinado pelo navegador Fornecedor de SO.

Também estou ciente de que muitas CAs raiz começaram a assinar certificados para usuários finais (como eu) com certificados intermediários. Isso pode exigir um pouco mais de configuração do meu jeito, mas por outro lado, esses certificados funcionarão bem. Eu acho que isso tem a ver com a proteção de sua chave privada valiosa para a CA e o desastre que seria se eu estivesse comprometida.

EXEMPLOS

  1. link
  2. link
  3. link

Agora, definitivamente não somos do tamanho de nenhuma dessas organizações, mas elas parecem estar fazendo algo assim. Isso definitivamente tornaria a gestão desses certificados muito mais palatável, especialmente considerando que estamos expandindo o alcance de nossa plataforma de e-commerce.

    
por Clint Miller 27.08.2009 / 16:40

9 respostas

9

A sua pergunta é para mim e para outras pessoas como "Como faço para emitir certificados para entidades dentro e fora da minha organização que são confiáveis por usuários arbitrários da Internet?"

Se essa é a sua pergunta, a resposta é "Você não faz". Se não for, por favor, esclareça.

Eu também recomendo ler "Windows Server 2008 PKI e Certificate Security por Brian Komar" e considerar todos os vários cenários de PKI para seus aplicativos. Você não precisa usar a CA da Microsoft para obter algo fora do livro.

    
por 27.08.2009 / 18:12
8

Uma pesquisa rápida mostra que tais coisas existem, mas com o "entre em contato para uma cotação" sugere que não será barato:

link

Eu não faço reivindicações sobre a empresa, mas essa página pode fornecer termos para você usar para encontrar outras empresas fazendo o mesmo.

    
por 27.08.2009 / 18:45
3

Se você pudesse fazer isso, o que impediria o Joe Malware de emitir um certificado para www.microsoft.com e fornecer a você sua própria marca "especial" de atualizações por meio de um seqüestro de DNS?

FWIW, veja como incluir seu certificado raiz na Microsoft no sistema operacional:

link

Os requisitos são bem altos.

    
por 27.08.2009 / 17:22
2

Isso é basicamente indistinguível de se tornar um revendedor para a CA raiz, o que quase certamente custa muito esforço e dinheiro para ser. Isso porque, como observa Tim, você pode criar um certificado válido para qualquer domínio, que não deve ser permitido, a menos que você controle esse domínio.

Uma alternativa é o programa de revenda do RapidSSL , no qual eles fazem todo o trabalho pesado e o problema de sua CA raiz .

    
por 27.08.2009 / 17:39
2

Pergunte a si mesmo estas duas perguntas:

  1. Você confia em seus usuários para importar corretamente certificados raiz para o navegador da web?
  2. Você tem os recursos para fazer parceria com uma autoridade de certificação raiz existente?

Se a resposta for sim a 1, o CAcert resolveu seu problema para você. Se a resposta for 2, olhe para a lista de certificados raiz confiáveis enviados com o OpenSSL, Firefox, IE e Safari e encontre um para assinar seu certificado intermediário.

    
por 27.08.2009 / 18:46
2

Acho que seria melhor você obter um certificado curinga da CA, dessa forma, você pode usar o mesmo certificado em qualquer subdomínio de seu domínio principal, mas não pode emitir certificados para qualquer outra coisa.

    
por 20.10.2009 / 13:48
0

Além do link de Joe H, aqui está um link que realmente funciona:

link

O CA Root Signing não é barato, mas essas coisas existem para empresas maiores.

    
por 21.12.2015 / 14:41
0

Eu sei que este é um post antigo, mas eu estava procurando muito por algo quase idêntico a isso. Ecoando de alguns outros posts ... é possível ... tudo isso é muito caro e difícil de estabelecer. Este artigo é um pouco útil no "quem faz isso" e no geral "o que está envolvido" ....

link

Quanto a alguns extras que eu peguei de algumas fontes espalhadas ... alguns dos requisitos estão tendo "patrimônio substancial" e "seguro" ... dos quais eu descobri estar listado em qualquer lugar de $ 1M para US $ 5 milhões, dependendo da fonte. Portanto, nem é preciso dizer que isso não é uma opção para uma pequena empresa.

Além disso, vi postagens informando que normalmente levará cerca de um ano para atender a todos os requisitos e passar por todas as etapas da auditoria. Além disso, os custos auxiliares envolvidos em todo o processo podem variar de US $ 100 mil a US $ 1 M, dependendo do contratante geral + dos custos trabalhistas e legais, bem como de quantas auditorias você atravessa. Então, novamente, não é um empreendimento para uma pequena empresa.

    
por 12.04.2018 / 16:47
0

É possível que uma autoridade de certificação raiz emita um certificado que permita emitir outros certificados, mas somente em um domínio específico. Eles precisam definir basicConstraints / CA: true e nameConstraints / allowed; DNS.0 = example.com

Então você está livre para executar sua própria CA e emitir certificados como test.example.com (mas não test.foobar.com ) que, por sua vez, serão confiáveis pela rede pública. Não conheço nenhuma CA raiz que forneça esse serviço, mas é realmente possível. Se alguém se deparar com tal provedor, por favor me avise.

    
por 14.06.2018 / 19:43

Tags

Alternativa Automatizada do Dropbox? [fechadas] O carpete, ou outro revestimento de piso, é apropriado para uma sala de servidores?