norme per la regolamentazione dell'autorità di certificazione intermedia

Question

norme per la regolamentazione dell'autorità di certificazione intermedia

#1 da (4 voti)
#2 da (1 voti)

5

Voglio sapere alcune informazioni sulla regolamentazione delle CA intermedie. Esiste uno standard per la CA intermedia per determinare quante CA intermedie sono richieste o qualcosa di simile che riguarda l'applicazione della CA intermedia?

certificates certificate-authority certificate-transparency

posta e.re 11.03.2018 - 09:25

fonte

2 risposte

Leggi altre domande sui tag certificates certificate-authority certificate-transparency

Sono necessarie politiche restrittive per le stesse origini? OpenSSL "impossibile ottenere il certificato emittente locale" anche quando si passa all'autorità di certificazione

score 4 · Answer 1

CABForum "Requisiti di base"

I certificati TLS sul Web sono governati principalmente dal forum CA-Browser Requisiti di base , che devono essere seguiti da tutte le CA pubblicamente attendibili (da parte dei fornitori di browser).

Nei Baseline Requirements (BRs), i certificati intermedi non sono richiesti esplicitamente per essere usati affatto. In teoria, una CA poteva semplicemente firmare tutti i loro certificati con la chiave del certificato di root. Da un punto di vista pratico, tuttavia, i prodotti intermedi sono necessari perché la chiave di root è solitamente mantenuta offline per proteggerla dal compromesso degli attori malintenzionati.

Se un certificato intermedio viene rilasciato a una terza parte, tale parte diventa una CA subordinata della CA principale originale. In questi casi, i BR specificano che la CA subordinata deve seguire i Requisiti di base proprio come fa la CA principale:

La sezione 1.1 dice:

These Requirements are applicable to all Certification Authorities within a chain of trust. They are to be flowed down from the Root Certification Authority through successive Subordinate Certification Authorities.

Attualmente, i Requisiti di base garantiscono alla CA principale la responsabilità di garantire che le CA subordinate rispettino i requisiti di base.

La sezione 9.6.1 dice:

The Root CA SHALL be responsible for the performance and warranties of the Subordinate CA, for the Subordinate CA’s compliance with these Requirements, and for all liabilities and indemnification obligations of the Subordinate CA under these Requirements, as if the Root CA were the Subordinate CA issuing the Certificates

Politica del negozio principale di Mozilla

Inoltre, alcuni programmi di archiviazione root di alcuni browser possono imporre ulteriori regolamenti sui certificati intermedi superiori a quelli richiesti dai Requisiti di base. Mozilla, ad esempio, richiede l'esistenza di certificati CA subordinati da divulgare pubblicamente in sezione 5.3.2 dei relativi requisiti del Root Store :

All certificates that are capable of being used to issue new certificates, that are not technically constrained, and that directly or transitively chain to a certificate included in Mozilla’s root program MUST be audited in accordance with Mozilla’s Root Store Policy and MUST be publicly disclosed in the CCADB by the CA that has their certificate included in Mozilla’s root program. The CA with a certificate included in Mozilla’s root program MUST disclose this information within a week of certificate creation, and before any such subordinate CA is allowed to issue certificates. All disclosure MUST be made freely available and without additional requirements, including, but not limited to, registration, legal agreements, or restrictions on redistribution of the certificates in whole or in part.

A parte questo, non sono a conoscenza di ulteriori standard che regolino l'uso di certificati intermedi.

score 1 · Answer 2

Controlla Requisiti minimi per l'emissione e la gestione di certificati di firma del codice di fiducia pubblica . In che cosa consiste, in parte, questo documento?

The scope of these Requirements includes all “Code Signing Certificates”, as defined below, and associated Timestamp Authorities, and all Certification Authorities technically capable of issuing Code Signing Certificates, including any Root CA that is publicly trusted for code signing and all other CAs that might serve to complete the validation path to such Root CA (emphasis mine).

Speriamo che questo abbia quello che stai cercando, o che sia almeno un passo nella giusta direzione.