Installazione di una CA solo per domini specifici

8

Per molte ragioni, è spesso conveniente che le organizzazioni abbiano la propria CA (autofirmata o altro).

A quanto ho capito, l'aggiunta del certificato CA a un sistema operativo o browser lo renderà attendibile ai server dell'organizzazione, ma aprirà anche la porta all'organizzazione (oa qualsiasi utente malintenzionato di accedere alla chiave CA) per impersonare qualsiasi server su Internet . Questo è un problema, soprattutto se l'organizzazione ha un criterio BYOD.

C'è un modo per aggiungere una CA ai sistemi operativi e ai browser più diffusi (Windows, Mac, Linux, Android, Chrome, Firefox, ...) in modo tale che sia ritenuto affidabile per certificare alcuni domini ? Se non c'è, è questo a causa di una limitazione tecnica nel sistema PKI, o semplicemente perché "nessuno aveva ancora bisogno di essere implementato"?

    
posta goncalopp 09.01.2015 - 12:18
fonte

1 risposta

3

Avere una CA specifica per un dominio è possibile con X.509, usando Vincoli di nome . Tuttavia, non è ben supportato: molte implementazioni ignoreranno i vincoli. Se funzionasse bene, la CA commerciale potrebbe vendere certificati subCA specifici del dominio ai proprietari del dominio (sarebbe una soluzione tecnicamente molto migliore rispetto ai certificati jolly).

In molti casi in cui esiste una "CA organizzativa", gli utenti sono impiegati dell'organizzazione, per i quali la CA è un'emanazione dalle sfere superiori dell'organizzazione, vale a dire (teoricamente e formalmente) la Voce di Dio. In questi casi, la limitazione a un singolo dominio non fornirebbe un significativo miglioramento della sicurezza, il che spiega la mancanza di una domanda sostenuta per tale funzione (e, quindi, la mancanza di supporto da browser esistenti).

    
risposta data 09.01.2015 - 13:28
fonte