Perché non esiste una CA di dominio?

Naviga le tue risposte
9

Mi è stato chiesto di consegnare un certificato SSL firmato per un server IIS per un client. In precedenza ho già fatto questo per lo stesso client / dominio, quindi inizia a sembrare una spesa inutile per mantenere certificati multipli per diversi sottodomini.

Godaddy addebita circa $ 250 per un singolo certificato SSL con durata di 5 anni.

Ho quindi iniziato a considerare un certificato con caratteri jolly, ma questo mi sembra un po 'pericoloso poiché il risultato di un singolo compromesso potrebbe avere un risultato peggiore.

Questo mi fa meravigliare, perché non c'è nulla chiamato Domain CA?

Una CA Domain può essere firmata da una CA radice e avere la possibilità di generare certificati Subdomain?

Mi sembra logico, ma questo non esiste, e mi chiedo perché. Qualcuno qui con una visione più chiara capisce perché nessuna cosa del genere esiste?

    
posta Dog eat cat world 02.11.2011 - 23:06
fonte

2 risposte

12

Nello standard X.509 (sto collegando RFC 5280 che è nominalmente un X.509 profilo ma contiene una copia funzionante di X.509 stesso, il vero standard X.509 non è gratuito), esiste una "CA di dominio". In particolare, questo è un certificato CA che contiene un'estensione dei vincoli di nomi di tipo "dNSName". Vedere la sezione 4.2.1.10, che contiene questo paragrafo:

DNS name restrictions are expressed as host.example.com. Any DNS name that can be constructed by simply adding zero or more labels to the left-hand side of the name satisfies the name constraint. For example, www.host.example.com would satisfy the constraint but host1.example.com would not.

che è esattamente quello che stai cercando.

Ora il trucco è quello di ottenere una CA radice riconosciuta esistente (ad esempio una CA che può emettere certificati che il browser Web di Joe medio accetterà senza avvertimenti spaventosi) per venderti tale certificato. Ricorda che il modello di business di una CA commerciale che ti addebita 250 $ per server deve essere in grado di continuare a farti pagare 250 $ per server; dal momento che il tuo obiettivo è proprio quello di evitare di dare loro così tanti soldi, suppongo che potrebbero obiettare, ad esempio, che non firmi il tuo certificato CA.

Inoltre, il supporto dei vincoli di nome da parte dei browser Web esistenti potrebbe essere un po 'instabile. Questa non è la funzionalità X.509 più utilizzata in assoluto.

    
risposta data 03.11.2011 - 00:55
fonte
1

Come qualcuno qui menzionato ha molto a che fare con il "modello di business", ma considera un altro punto di vista. Quando una CA radice emette un certificato (intermedio o meno) è apparentemente in difficoltà per mantenere un CRL per tutti i certificati nella CA principale. Mentre un certificato con caratteri jolly ti consente di utilizzare un certificato per i server infiniti , una CA di dominio ti consente di creare certificati infiniti sotto la tua CA intermedia. Una CA radice probabilmente considererebbe questo insostenibile dato il loro modello di business e il fatto che non pagherai loro infinite unità di valuta.

    
risposta data 15.05.2014 - 17:37
fonte

Leggi altre domande sui tag

SS7 è una minaccia ancora? Ci sono sequenze diverse da ../ che saranno interpretate come directory traversal in * nix o Windows?