Vorrei chiedere informazioni sulle procedure che consentono a una determinata CA di ottenere una delle sue CA radice (CA di emissione SSL) per essere accettate e installate come CA radice affidabile in sistemi operativi e browser.
Browser e sistemi operativi diversi hanno procedure diverse. Ad esempio, Chrome acquisisce il fiduciario del sistema operativo (ad eccezione dei certificati EV) come mostrato su Root CA Policy di chromium.
Firefox, d'altra parte, mantiene tutte le sue CA stesse e non utilizza affatto l'archivio dei sistemi. Hanno anche pubblicato Criteri di inclusione . E naturalmente il sistema operativo, come Programma di certificati root per le mele .
Generalmente, tutti richiedono che la CA sia certificata da un'autorità riconosciuta come WebTrust o qualcosa di equivalente. Per ottenere la certificazione, la CA deve dimostrare alcune cose, come il modo in cui determina il proprietario di un dominio, come mantiene la chiave privata della CA radice protetta, i processi e molte altre cose. C'è un PDF online da WebTrust con tutti i requisiti . Alcuni esempi:
The Certification Authority:
- Discloses its Business, Key Life Cycle Management, Certificate Life Cycle Management, and CA Environmental Control practices in its Certification Practice Statement; and
- Discloses its Business, Key Life Cycle Management, Certificate Life Cycle Management, and CA Environmental Control policies in its Certificate Policy (if applicable). The Certification Authority maintains effective controls to provide reasonable assurance that:
- The CA’s Certification Practice Statement is consistent with its Certificate Policy (if applicable); and
- The CA provides its services in accordance with its Certificate Policy (if applicable) and Certification Practice Statement
e
Service Integrity
The Certification Authority maintains effective controls to provide reasonable assurance that:
- The integrity of keys and certificates it manages is established and protected throughout their life cycles;
- The Subscriber information is properly authenticated (for the registration activities performed by ABC-CA); and
- Subordinate CA certificate requests are accurate, authenticated and approved
Quindi ovviamente la CA deve fornire un certo valore al sistema operativo o al fornitore del browser. Le CA private non verranno aggiunte all'archivio CA radice di alcun browser o sistema operativo. Un elenco dal programma di certificazione radice di mele:
- What is the business purpose of the certificates issued from this root certificate? What business is this root enabling?
- To whom will you issue certificates? For example, the general public, members of a certain organization, and so on.
- What Extended Key Usages does the root support? For example, SSL server authority, secure e-mail, code signing, and so on.
- What is done to validate the identity of someone requesting a certificate issued from this root?
- Pointers to Certificate Practice Statement
- List of any third-party audits your CA practice has undergone. URL of a publicly accessible server where certificates issued from your roots can be verified
Come puoi vedere, non è così facile entrare negli archivi root e i rivenditori rivaluteranno periodicamente ogni CA nel suo negozio. Rimangono anche il diritto di eliminare qualsiasi CA che ritenga non abbastanza sicura, come è successo con DigiNotar .
Leggi altre domande sui tag certificates certificate-authority