Obtendo um certificado SSL intermediário

19

É possível comprar um certificado intermediário para usá-lo para assinar certificados de subdomínio? Ele precisa ser reconhecido pelos navegadores e não posso usar um certificado curinga.

A pesquisa não resultou em nada até agora. Alguém está emitindo tais certificados?

    
por Alex B 17.06.2014 / 07:36

4 respostas

16

O problema é que a infraestrutura e a implementação usadas atualmente não suportam certificados intermediários, limitados a apenas alguns (sub) domínios. Isso, na verdade, significa que você pode usar qualquer certificado intermediário para assinar qualquer certificado desejado e os navegadores confiarão nele, mesmo que sejam certificados para domínios que você não possui.

Assim, tais certificados intermediários são dados apenas para organizações realmente confiáveis, o que quer que isso signifique (mas muito dinheiro provavelmente está envolvido).

    
por 17.06.2014 / 09:21
7

Não, porque seria uma violação do certificado original - os navegadores confiariam em seus certificados e você poderia começar a emitir material para google.com etc. - e, se você fizer isso de maneira inteligente, não será fácil obtê-lo. / p>

Autoridades de Certificação Intermediárias têm muito poder. Uma CA intermediária é uma autoridade de assinatura de certificado - que é confiável por meio do certificado raiz - e nada na especificação permite limitar a autoridade de certificação subordinada.

Como tal, nenhuma organização de certificação respeitável vai dar uma para você.

    
por 17.06.2014 / 07:59
5

É / foi possível comprar uma CA válida da GeoTrust.

Não consegui encontrar o produto nas páginas em inglês, mas aqui está uma versão arquivada:

link

To purchase GeoRoot you must meet the following minimum requirements:

  • Net worth of $5M or more
  • A minimum of $5M in Errors and Omissions insurance
  • Articles of Incorporation (or similar) and an incumbency certificate provided
  • A written and maintained Certificate Practice Statement (CPS)
  • A FIPS 140-2 Level 2 compliant device (GeoTrust has partnered with SafeNet, Inc.) for key generating and storing your root certificate keys
  • An approved CA product from Baltimore/Betrusted, Entrust, Microsoft, Netscape or RSA

O produto ainda está disponível em sua página em alemão:

link

    
por 12.06.2015 / 01:18
4

(Esta é uma nova resposta para uma pergunta antiga porque acredito que isso ajuda a entender que não há "mágica" por trás de certificados e CA)

Como uma extensão da resposta aprovada dada por @Steffen Ullrich

O certificado completo para identificar sites é apenas um negócio muito lucrativo. Os certificados X509 são definidos (entre outros) por RFC5280 e qualquer um pode ser uma CA raiz ou uma CA intermediária, tudo depende da confiança que você tem em relação a essa entidade.

Exemplo: se você estiver em um domínio do Active Directory, seu controlador de domínio principal será uma autoridade de certificação raiz confiável por padrão. Enquanto isso, não há absolutamente nenhum outro terceiro envolvido.

Na Internet ampla, a questão é identificar "em quem você pode confiar", porque é muito maior do que apenas uma empresa. E, portanto, os fornecedores de navegadores fornecem uma lista arbitrária personalizada de CA raiz na qual ele confiará sem solicitar seu consentimento.

Ie: Se você tem um relacionamento muito bom com a fundação Mozilla, então sua própria AC raiz auto-assinada arbitrária pode ser adicionada a essa lista na próxima versão do seu navegador Firefox ... Só porque eles decidiram!

Além disso, não há RFC que defina o comportamento e as regras sobre como os navegadores devem se comportar em relação aos certificados. Este é um consenso implícito de que porque o "CN" do certificado é igual ao nome de domínio, que é suposto ser correspondência.

Como isso não era suficiente em algum momento, todos os fornecedores de navegadores envelheceram implicitamente que um certificado de certificado com caractere curinga do formulário *.domain.com corresponderia a qualquer subdomínio. Mas corresponde apenas a um nível: não sub.sub.domain.com porque é isso? Porque eles acabaram de decidir.

Agora, sobre sua pergunta original, o que impediria que seu certificado de domínio principal tivesse permissão para criar sub-certificados para seus próprios subdomínios, um processo fácil para o navegador verificar, apenas obtendo a cadeia de certificados.

A resposta é: nada

(exceto que tecnicamente você deve ter um "flag" no seu próprio certificado de domínio para fazer isso)

Os fornecedores do broswers, se acharem isso conveniente o suficiente, podem decidir apoiá-lo.

No entanto, de volta à minha primeira declaração, isso é um grande negócio de dinheiro. Portanto, essas poucas CAs raiz que têm contratos com os fornecedores de navegadores estão gastando grandes quantias de dinheiro para aparecer nessa lista. E hoje, eles recuperam o dinheiro porque você tem que pagar por cada certificado de subdomínio individual ou obter um curinga que é muito mais caro. Se eles permitissem que você criasse seus próprios certificados de subdomínio, isso reduziria tremendamente seu lucro. Então é por isso que a partir de hoje, você não pode fazer isso.

Bem, você ainda pode, porque seria um certificado x509 válido, mas nenhum navegador reconheceria isso.

    
por 09.06.2017 / 20:26

Tags