Utilizzo di un certificato verificato per firmare altri

6

Ciò riguarda PKI e certificati in generale, ma i siti Web in particolare.

È possibile ottenere un certificato verificato da una CA firmata e valida per l'uso, quindi utilizzarla per firmare i propri certificati come verificati. Per quanto ho capito, la catena PKI è ancora valida, c'è una CA, il mio certificato verificato e certificati secondari verificati dai miei.

Questo è principalmente per un progetto personale e un po 'di teoria, ma non sono sicuro di cosa mi manchi qui, poiché sono sicuro che non è possibile, sarebbe un grande perdente per le CA. Capisco il concetto di autofirmazione, ed è probabilmente quello che andrò con più certificati. Ma perché non puoi semplicemente ottenere il tuo certificato radice personale che stai firmando con verificato dalla CA e completare la catena per i browser?

    
posta Paystey 21.09.2012 - 22:42
fonte

2 risposte

6

Affinché un certificato sia valido come CA intermedia (ovvero come parte di una catena di certificati e non alla fine - questo è ciò che si propone di fare), deve avere un'estensione dei vincoli di base con cA flag impostato su TRUE . In caso contrario, il sistema che verifica la catena (ad esempio i browser Web, durante la convalida del certificato di un server) rifiuterà la catena. Vedi RFC 5280 , sezioni 4.2.1.9 e 6.1.4 (elemento 'k'). La CA commerciale può venderti un certificato con il flag cA impostato su true, ma in genere non è economico. I certificati "normali" (quelli che possono essere concessi da singoli) hanno il flag cA impostato su falso.

Si noti che fino al 2003 circa, Internet Explorer non stava verificando il flag cA e il tuo schema avrebbe funzionato. Questo era un enorme buco di sicurezza, ovviamente, perché chiunque poteva quindi agire come una pseudo-CA e rilasciare certificati con qualsiasi nome in esso.

    
risposta data 21.09.2012 - 23:21
fonte
1

Un certificato è designato come valido per un insieme di "utilizzi chiave", che includono server SSL, autorità di certificazione, firma del codice, firma e-mail e altri (un buon elenco è trovato qui ). Solo i certificati che sono designati ad agire come autorità di certificazione saranno considerati affidabili per firmare altri certificati; se un collegamento nella catena delle firme manca di quella chiave, allora interrompe la catena.

Credo che tu possa acquistare un certificato da Verisign / Thawte / etc che ti permetta di firmare i certificati all'interno di una gerarchia di domini limitata, ad esempio potresti creare certificati solo su yourcompany.com ma avere la catena di fiducia fino alla CA che hai acquistato il certificato di firma da. Naturalmente, fanno pagare molto di più per questo, per ovvi motivi.

    
risposta data 21.09.2012 - 23:09
fonte

Leggi altre domande sui tag