Can we have our Internal CA root signed as a child of our wildcard certificate...
O certificado curinga só pode aparecer em certificados de entidades finais se tudo estiver funcionando conforme o esperado ou esperado. E eles só aparecerão nos certificados de entidade final de "nível inferior", como domínio validado; e não os certificados de validação estendida "nível superior".
Se tudo estiver funcionando conforme esperado ou esperado, um certificado de entidade final não terá keyCertSign
keyUsage
(e cRLSign
), por isso não poderá atuar como uma raiz de autoridade de certificação e ancorar uma cadeia de Confiar em. Você não poderá assinar nada com um certificado de entidade final.
Esta distinção entre diferentes níveis ou classes de certificados é mencionada abaixo, mas você é encorajado a ler dois capítulos de Peter Guttman's Engenharia de Segurança . Especificamente, veja o Capítulo 1 e 8 (IIRC).
As CAs podem assinar outras CAs (por favor, não é necessário renunciar a algumas mãos aqui). Isso é chamado de countersigning e é usado para unir diferentes PKIs. Por exemplo, o Federal dos EUA usa pontes para permitir que o Tesouro consuma certificados do Departamento de Estado (etc.).
Bridging é um caso de uso ligeiramente diferente do que é usado no modelo típico do Navegador. No modelo do navegador, os certificados com assinatura cruzada não são usados; em vez disso, centenas de certificados raiz e intermediários são pré-instalados e confiáveis para o mesmo efeito (e mais!).
Por fim, a regra de que "Certificados EV não podem ter Curingas" vem dos Fóruns CA-Browser (CA / B). A CA / B tem dois guias que as ACs e os Navegadores participantes seguem e a regra é das diretrizes estendidas.
Tirando o guia estendido, página 15:
9.2.2 Subject Alternative Name Extension
Certificate field: subjectAltName:dNSName
Required/Optional: Required
Contents: This extenstion MUST contain one or more host Domain Name(s)
owned or controlled by the Subject and to be associated with the Subject’s
server. Such server MAY be owned and operated by the Subject or another
entity (e.g., a hosting service). Wildcard certificates are not allowed
for EV Certificates.
so that installing that cert into guest devices/browsers/whatever doesn't present anything about an untrusted root
Não. O usuário teria que instalá-lo como uma âncora de confiança. Por exemplo, como um "Certificado Confiável" em um armazenamento de certificados. Simplesmente fornecê-lo como um certificado de entidade final não deve ter efeito.
Also, on a bit of a side point, why does the addition of a wildcard double the cost of certificate purchase?
Para preservar os níveis de lucro.
Os certificados de validação estendida são outro truque usado para restaurar os níveis de lucro para um local anterior à corrida para o final destruída confiança e lucros. Tomando de Segurança de Engenharia, de Peter Guttman, pp. 63-64 (Guttman o chama " PKI me hard "):
The introduction ... of so-called high-assurance or extended
validation (EV) certificates that allow CAs to charge more for them
than standard ones, is simply a case of rounding up twice the usual
number of suspects - presumably somebody’s going to be impressed by
it, but the effect on phishing is minimal since it’s not fixing any
problem that the phishers are exploiting. Indeed, cynics would say
that this was exactly the problem that certificates and CAs were
supposed to solve in the first place, and that “high-assurance”
certificates are just a way of charging a second time for an existing
service. A few years ago certificates still cost several hundred
dollars, but now that the shifting baseline of certificate prices and
quality has moved to the point where you can get them for $9.95 (or
even for nothing at all) the big commercial CAs have had to reinvent
themselves by defining a new standard and convincing the market to go
back to the prices paid in the good old days.
This deja-vu-all-over-again approach can be seen by examining
Verisign’s certificate practice statement (CPS), the document that
governs its certificate issuance. The security requirements in the
EV-certificate 2008 CPS are (except for minor differences in the
legalese used to express them) practically identical to the
requirements for Class 3 certificates listed in Verisign’s version 1.0
CPS from 1996. EV certificates simply roll back the clock to the
approach that had already failed the first time it was tried in 1996,
resetting the shifting baseline and charging 1996 prices as a
side-effect. There have even been proposals for a kind of
sliding window approach to certificate value in which, as the
inevitable race to the bottom cheapens the effective value of
established classes of certificates, they’re regarded as less and less
effective by the software that uses them...