Czy mogę zbudować własny certyfikat Extended Validation SSL?

34

Mogę utworzyć przez własny urząd certyfikacji i w ten sposób wygenerować samopodpisany certyfikat SSL. Ale co trzeba zrobić, aby przeglądarka wyświetlała certyfikat jako „certyfikat SSL z rozszerzoną walidacją”?

Czy mogę sam go stworzyć i nauczyć moją przeglądarkę wyświetlania jako EV?

Niels Basjes
źródło
Możesz na to spojrzeć: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Odpowiedzi:

35

Sposób działania certyfikatów EV SSL polega na przyklejeniu specyficznego dla danego urzędu identyfikatora OID w polu rozszerzenia zasad certyfikatów certyfikatu (w przeciwnym razie jest to standardowy certyfikat X.509).

Jak powiedział EK, referencyjne identyfikatory OID dla każdego urzędu są wysyłane jako część głównego katalogu certyfikatów przeglądarki. Interfejsy użytkownika nie pozwalają dodawać nowego urzędu certyfikacji i mówią „to jest urząd certyfikacji obsługujący EV, a UID to abcdef”.

Przypuszczam, że może być możliwe zbudowanie przeglądarki typu open source ze źródła, dodanie certyfikatu własnego urzędu certyfikacji wraz z jego identyfikatorem EV do sklepu root, ale tak naprawdę niewiele osiągnąłeś. Przeglądarka nie byłaby już zgodna z wytycznymi EV forum CA / Browser (które ograniczają uprawnienia z funkcją EV).

Wikipedia ma więcej informacji na temat certyfikatów EV tutaj:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F.
źródło
2

Nie, nie możesz. Zaufane katalogi główne są ustalone w przeglądarce

JamesRyan
źródło
3
Oznacza to po prostu, że musisz zmodyfikować przeglądarkę. W szczególności zapytał, czy mógłby „nauczyć moją przeglądarkę pokazywania jej jako EV”. Jeśli jest to FireFox lub inna przeglądarka, której źródło jest dostępne, może to zrobić.
David Schwartz,
1
Chociaż w rzeczywistości powiedział „czy mogę uczyć mojej przeglądarki”, tylko ty widzisz swój certyfikat jako EV, jest to całkowicie bezcelowe. Tak więc celem mojej odpowiedzi było praktyczne, a nie pedantyczne. Jeśli chcesz być naprawdę wybredny, moja odpowiedź jest nadal poprawna, ponieważ kompilacja zupełnie nowej przeglądarki ze źródła nie uczy twojej istniejącej przeglądarki. : P
JamesRyan
5
Nie zgadzam się, że jest to bezcelowe. Na przykład w organizacji dobrze byłoby umieścić ją w każdej przeglądarce, aby wszystkie strony wewnętrzne były rozpoznawane.
jakieś
Dlaczego potrzebujesz certyfikatu EV? Pamiętaj, że to nie obejmuje wszystkich certyfikatów, nadal możesz dodać zaufany katalog główny dla certyfikatów innych niż EV.
JamesRyan
Są i nie są. Zawsze możesz importować i usuwać certyfikaty ze swojego zaufanego głównego urzędu certyfikacji. Jako administrator domeny w mojej organizacji mogę przesyłać certyfikaty root do zarządzanych użytkowników za pośrednictwem zasad, aby ich przeglądarki ufały certyfikatom generowanym dla moich wewnętrznych serwerów. Ja również chciałbym wiedzieć, jak podpisywać moje certyfikaty wewnętrzne, aby moi użytkownicy widzieli walidację na poziomie „EV” w swoich certyfikatach. Chciałbym, żeby ktoś mógł mi powiedzieć, co należy zrobić, aby to zrobić.
Erik,