Czy mogę być własnym zaufanym urzędem certyfikacji za pośrednictwem podpisanego certyfikatu pośredniego?

23

Czy mogę uzyskać certyfikat od głównego urzędu certyfikacji, którego mogę następnie użyć do podpisania własnych certyfikatów serwera WWW? W miarę możliwości użyłbym podpisanego certyfikatu jako pośrednika do podpisania innych certyfikatów.

Wiem, że musiałbym w pewien sposób skonfigurować swoje systemy za pomocą „mojego” certyfikatu pośredniego, aby dostarczyć klientom informacje o łańcuchu zaufania.

czy to możliwe? Czy główne urzędy certyfikacji są skłonne podpisać taki certyfikat? Czy jest drogie?

TŁO

Znam podstawy SSL związane z zabezpieczaniem ruchu sieciowego przez HTTP. Rozumiem także, jak działa łańcuch zaufania, ponieważ ruch internetowy jest zabezpieczony „domyślnie”, jeśli szyfrujesz za pomocą certyfikatu, który ma prawidłowy łańcuch aż do głównego urzędu certyfikacji, określony przez przeglądarkę Dostawca / OS.

Wiem także, że wiele głównych urzędów certyfikacji zaczęło podpisywać certyfikaty dla użytkowników końcowych (takich jak ja) z certyfikatami pośrednimi. Może to wymagać trochę więcej konfiguracji po mojej stronie, ale w przeciwnym razie te certyfikaty będą działać poprawnie. Myślę, że ma to związek z ochroną ich niezwykle cennego klucza prywatnego dla urzędu certyfikacji i katastrofą, jaką miałbym, gdyby kiedykolwiek zostałem narażony na szwank.

PRZYKŁADY

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Teraz zdecydowanie nie jesteśmy wielkością żadnej z tych organizacji, ale wydaje się, że robią coś takiego. Zdecydowanie sprawiłoby to, że zarządzanie tymi certyfikatami byłoby znacznie łatwiejsze, szczególnie biorąc pod uwagę jeden ze sposobów rozszerzenia zasięgu naszej platformy e-commerce.

ssl certificate x509 Clint Miller
źródło

Odpowiedzi:

9

Twoje pytanie brzmi: „Jak wystawiać certyfikaty podmiotom w mojej organizacji i poza nią, którym ufają arbitralni użytkownicy Internetu?”

Jeśli to twoje pytanie, odpowiedź brzmi „nie”. Jeśli nie, proszę wyjaśnić.

Polecam również przeczytanie „Windows Server 2008 PKI and Security Security Briana Komara” i rozważenie wszystkich różnych scenariuszy PKI dla twoich aplikacji. Nie musisz używać urzędu certyfikacji firmy Microsoft, aby uzyskać coś z książki.

duffbeer703
źródło
Doceniam dane wejściowe, ale wydaje mi się, że przytoczone przeze mnie przykłady wskazują, że część Twojego stwierdzenia „nie” jest niepoprawna. Spójrz na łańcuch zaufania dla tych certyfikatów, a zobaczysz, że pomiędzy głównym urzędem certyfikacji (dystrybuowanym z przeglądarką / systemem operacyjnym) a certyfikatem używanym przez serwer sieci Web do szyfrowania ruchu HTTPS istnieje certyfikat specyficzny dla przedsiębiorstwa.
Clint Miller
13
To nie tylko certyfikat. Sun / Microsoft / Dell prowadzi pośredni urząd certyfikacji. Prowadzenie przedsiębiorstwa przez publiczny urząd certyfikacji jest kosztownym, skomplikowanym zadaniem, które wymaga okresowego audytu zewnętrznego. Książka Komar wyjaśnia kilka scenariuszy CA i ilustruje, dlaczego jest tak złożona. Jeśli projekt aplikacji prowadzi Cię do zostania urzędem certyfikacji, musisz długo przemyśleć swoje cele projektowe i strategię wdrażania.
duffbeer703
8

Szybkie wyszukiwanie pokazuje, że takie rzeczy istnieją, ale „Skontaktuj się z nami w sprawie wyceny” sugeruje, że nie będzie tanie:

https://www.globalsign.com/en/certificate-authority-root-signing/

Nie zgłaszam żadnych roszczeń dotyczących firmy, ale ta strona może zawierać warunki, na podstawie których można znaleźć inne firmy, które robią to samo.

Joe H.
źródło
3

Jeśli możesz to zrobić, co powstrzyma Joe Malware przed wydaniem certyfikatu dla www.microsoft.com i udzieleniem ci własnej „specjalnej” marki aktualizacji poprzez przejęcie DNS?

FWIW, oto jak uzyskać certyfikat główny dołączony przez Microsoft do systemu operacyjnego:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Wymagania są dość wysokie.

Tim Howland
źródło
Cóż, chyba 2 rzeczy. 1. Oczywiste jest, że żaden główny urząd certyfikacji nie pozwoli mi podpisywać certyfikatów dla innych podmiotów, które nie są częścią mojej organizacji. Mogą nie być w stanie powstrzymać mnie przed zrobieniem tego raz, ale nie potrwa to długo, dopóki certyfikat, który dla mnie podpisali, nie znajdzie się na listach unieważnień, a potem wszystko się skończy. 2. Co jeszcze ważniejsze, jakie techniki „globalnej” skali są wykorzystywane do przejęcia DNS? Problem zatrucia pamięci podręcznej, który Kamiński zasłynął, został załatany przez dostawców DNS, prawda?
Clint Miller
Jeśli wszystkie certyfikaty, o których mówisz, są własnością Twojej organizacji, czy są one w tej samej domenie najwyższego poziomu? Jeśli tak, lepszym rozwiązaniem może być znak SSL z symbolem wieloznacznym (* .mydomain.com).
Tim Howland
Niestety mam więcej domen do zabezpieczenia, więc symbol wieloznaczny (który był początkową strategią) nie będzie dla nas działał, ponieważ rozszerzyliśmy naszą działalność o przypadki, w których pożądana jest inna domena. Moje rozwiązanie na razie to certyfikaty SAN (alternatywne nazwy tematów), ale tworzenie nowego certyfikatu dla każdego dodawania / usuwania innej domeny jest nieco bolesne.
Clint Miller,
2

Jest to w zasadzie nie do odróżnienia od zostania sprzedawcą tego głównego urzędu certyfikacji, co prawie na pewno kosztuje dużo wysiłku i pieniędzy. Wynika to z faktu, że, jak zauważa Tim, możesz utworzyć ważny certyfikat dla dowolnej domeny, co nie powinno być dozwolone, chyba że kontrolujesz tę domenę.

Alternatywą jest program dla sprzedawców RapidSSL, w którym wykonują ciężką pracę i wystawiają swoje główne urzędy certyfikacji.

TRS-80
źródło
2
Nie mogłem się więcej nie zgodzić! Nie chcę odsprzedawać certyfikatów innym. Chcę ułatwić zarządzanie zabezpieczaniem komunikacji w naszej firmie oraz między naszą firmą a klientami. Tim zadał uzasadnione pytanie, ale myślę, że nie rozumiesz sedna sprawy.
Clint Miller
3
Patrzę na to z punktu widzenia CA - dla nich to, o co prosisz, to stać się pełnoprawnym CA sam w sobie, co jest dla nich dość ryzykowne - tylko dlatego, że mówisz, że nie chcesz wydawanie certyfikatów dla innych nie oznacza, że ​​nie będziesz miał technicznej możliwości, dlatego będą chcieli poważnych kontroli, aby się upewnić, że nie.
TRS-80,
2

Zadaj sobie te dwa pytania:

  1. Czy ufasz swoim użytkownikom, że poprawnie zaimportują certyfikaty root do swojej przeglądarki internetowej?
  2. Czy masz zasoby do współpracy z istniejącym głównym urzędem certyfikacji?

Jeśli odpowiedź brzmi „tak” na 1, CAcert rozwiązał problem za Ciebie. Jeśli odpowiedź na pytanie 2 brzmi „tak”, przejrzyj listę zaufanych certyfikatów głównych dostarczanych z OpenSSL, Firefox, IE i Safari i znajdź jeden do podpisania certyfikatu pośredniego.

zawietrzny
źródło
2

Myślę, że lepiej byłoby uzyskać certyfikat wieloznaczny z urzędu certyfikacji, w ten sposób można użyć tego samego certyfikatu w dowolnej subdomenie domeny podstawowej, ale nie można wystawiać certyfikatów na nic innego.

Richard Gadsden
źródło
1

Główny urząd certyfikacji może wystawić certyfikat, który umożliwia wydawanie innych certyfikatów, ale tylko w określonej domenie. Muszą ustawić podstawowe Ograniczenia / CA: prawda i Ograniczenia nazwy / dozwolone; DNS.0 = example.com

Następnie możesz uruchomić własny urząd certyfikacji i wydawać certyfikaty, takie jak test.example.com (ale nie test.foobar.com ), którym z kolei zaufa publiczna sieć internetowa. Nie znam żadnego głównego urzędu certyfikacji, który zapewnia tę usługę, ale jest to rzeczywiście możliwe. Jeśli ktoś natknie się na takiego dostawcę, daj mi znać.

Jonas Bjork
źródło
0

Oprócz linku od Joe H, oto link, który faktycznie działa:

https://www.globalsign.com/en/certificate-authority-root-signing/

Podpisywanie korzeni CA nie jest tanie, ale takie rzeczy istnieją dla większych przedsiębiorstw.

Gerald Schittenhelm
źródło
Rozważ rozszerzenie swojej odpowiedzi z podanego linku. Odpowiedzi tylko na link są doceniane.
Konrad Gajewski
0

Wiem, że to stary post, ale długo szukałem czegoś prawie identycznego z tym. Echa z kilku innych postów ... jest możliwe ... wszystko to może być dość drogie i trudne do ustalenia. Ten artykuł jest nieco pomocny w „kto to robi” i ogólnie w „co się z tym wiąże” ....

https://aboutssl.org/types-of-root-signing-certificates/

Co do niektórych dodatków, które wybrałem z niektórych rozproszonych źródeł ... niektóre wymagania dotyczą „znacznego kapitału” i „ubezpieczenia” ... z których znalazłem się na liście od 1 do 5 milionów dolarów w zależności od źródła. Nie trzeba więc dodawać, że nie jest to opcja dla małego biznesu.

Ponadto widziałem posty, w których stwierdzenie, że spełnienie wszystkich wymagań i przeskoczenie wszystkich obręczy kontroli zajmie zwykle prawie rok. Ponadto koszty dodatkowe związane z całym procesem mogą wynosić od 100 tys. USD do + 1 mln USD w zależności od generalnego wykonawcy + koszty prawne + robocizny, a także liczbę przeprowadzonych audytów. Zatem znowu nie jest to przedsięwzięcie dla małej firmy.

Craig
źródło