Limitazione della catena di certificati radice

7

Mi sto prendendo gioco dell'idea di gestire un mini-CA con il mio sito web (hobby), probabilmente usato solo internamente con alcuni sviluppatori selezionati per e-mail interne, autenticazione client, certificati server di staging / sviluppo ecc. riluttante ad estendere questo stile di autenticazione ai miei utenti più tecnicamente come uno schema di autenticazione opzionale (nonostante i vantaggi), semplicemente perché richiederebbe agli utenti completamente accettare il mio certificato di root e quindi potrei tecnicamente MitM le loro sessioni paypal o qualcosa del genere. Nei loro panni, sicuramente non mi fiderei di examplehobbysite.com come valida terza parte nella convalida dell'identità di paypal.com (o di qualsiasi altro server per quella materia), ma potrei essere felice di affidarmi all'autenticazione client di utenti su quel sito (S / MIME e simili, il loro CN è il nome utente del loro sito o qualcosa del genere).

In poche parole, c'è un modo per creare un certificato di origine che solo possa essere utilizzato per emettere certificati X.509 da utilizzare per S / MIME, Autenticazione client e simili, e < strong> non essere valido come certificati server (SSL)?

    
posta TC Fox 01.10.2011 - 16:15
fonte

3 risposte

4

In Firefox, puoi modificare il livello di affidabilità che dai a un certificato. Vai a Opzioni avanzate, crittografia e nell'elenco CA, fai clic su qualsiasi certificato e poi su "Modifica attendibilità".

Questo ti dà una certa flessibilità.

    
risposta data 01.10.2011 - 16:50
fonte
3

Sto tentando la stessa cosa. Sto facendo molte ricerche per questo hobby e troverai una serie molto ampia di cose a cui pensare qui:

Elenco di controllo sulla creazione di un root offline & Autorità di certificazione intermedia (CA)

Simply put, is there any way I could create a root certificate that could only be used to issue X.509 certificates to be used for S/MIME, Client Authentication and the like, and not be valid as Server (SSL) Certificates?

Dal momento che desideri limitarti a S / MIME e ad altri scopi, ti consigliamo di ottenere un elenco definitivo di tali scopi, ottenere gli OID e utilizzare la delega vincolata e impostare l'utilizzo delle chiavi avanzate (EKU) a seconda dei casi.

Sappi che ogni volta che cambi idea, modifica o riemetti il RootCA stai rendendo la revoca OCSP di CRL molto più complicata a causa dei molteplici percorsi di root che il CryptoAPI deve analizzare.

    
risposta data 04.06.2012 - 00:17
fonte
0

Usa la tua Root-CA come base di emissione. Ma lascia che i loro browser si fidino solo degli intermediari.

    
risposta data 29.05.2014 - 19:17
fonte