Existem CAs que podem emitir certificados SSL com EKUs extras?

3

Eu preciso de um certificado SSL com alguns EKUs extras incomuns (ou seja, 1.3.6.1.5.5.8.2.2, "Uso Intermediário do Sistema IPSec"). O certificado autoassinado não é uma opção. Alguém sabe sobre alguma CA que permite EKUs adicionais? Eu entrei em contato com Namecheap, Comodo e Godaddy, e todos eles responderam que não podem emitir um.

    
por Roman Dmitrienko 15.02.2017 / 19:51

1 resposta

2

Os Requisitos de linha de base do Fórum da CA / Navegador são bem rigorosos sobre a promoção de extendedKeyUsage valores em um certificado que não são padrão. Embora não seja completamente proibido, o texto é tal que uma CA normalmente desejará evitar o incômodo (consulte a seção 7.1.2.4).

Alguns Root Stores (Microsoft) até exigem que as CAs declarem explicitamente todos os valores possíveis de EKU antecipadamente, que um certificado raiz ou intermediário possa assinar.

    
por 19.06.2017 / 11:55