Come può essere rilasciato un certificato intranet attendibile se viene eliminato gradualmente?

Question

Come può essere rilasciato un certificato intranet attendibile se viene eliminato gradualmente?

#1 da (2 voti)

5

Ho appena visto questo articolo riguardante eliminazione graduale dei nomi intranet sui certificati SSL .

Tuttavia, CA tali come questa rivendicano ancora il rilascio e sarà "Trusted by tutti i browser più diffusi "anche se sono elencati come membri nel documento delle linee guida .

È disponibile anche un documento di orientamento disponibile per quanto riguarda i nomi dei server interni.

La mia domanda è: come stanno ancora riuscendo a emettere certificati SSL per i nomi interni se questo è contrario alle linee guida CA / Forum del browser ?

La mia unica ipotesi è che dipenda dalla regione, ad es. non è possibile negli Stati Uniti, ma è possibile con una CA del Regno Unito. In tal caso, una società / persona residente negli Stati Uniti può semplicemente utilizzare un sito nel Regno Unito per acquistare il proprio certificato?

public-key-infrastructure tls certificates certificate-authority

posta SilverlightFox 19.01.2014 - 14:25

fonte

1 risposta

Leggi altre domande sui tag public-key-infrastructure tls certificates certificate-authority

Perché OAuth2 richiede credenziali client in un'intestazione di autorizzazione? Dove conservare il file chiave utilizzato come chiave composta per Keepass 2

score 2 · Accepted Answer

The CA/Browser Forum is a voluntary organization of Certification Authorities and suppliers of Internet browser and other relying-party software applications.

Così dice nella seconda pagina del documento "Linee guida". La parola importante è "volontaria". Queste "linee guida" non sono la legge. Questo è solo un documento redatto da un gruppo di aziende che ha ritenuto che valesse la pena, ad un certo punto, modificare un documento del genere, per un motivo non specificato.

Queste linee guida potrebbero essere la base per alcuni accordi contrattuali tra le società; per esempio. Microsoft potrebbe decidere che le CA commerciali che desiderano vedere la loro chiave pubblica CA principale inclusa per impostazione predefinita nell'archivio "attendibile" di Windows devono essere conformi alle linee guida del forum CA / Browser. Tuttavia, il mancato rispetto delle linee guida non incorre in ritorsioni legali oltre a quelle civili in merito a tali contratti. Questo è un business completamente privato; la legge e i governi di tutto il mondo non hanno alcuna relazione con queste linee guida e la loro applicazione.

Come nota a margine, è noto che sebbene Microsoft cerchi di mantenere alcune regole di comportamento rigorose per la CA che hanno impostato come "trusted by default", devono fare delle eccezioni per alcune "CA governative" perché il rifiuto di includere la chiave CA per animali domestici di alcuni governi potrebbe implicare la perdita di accesso ai grandi mercati locali. Indipendentemente da ciò che possono rivendicare nelle riunioni del forum CA / Browser, i grandi giocatori come Microsoft devono già occuparsi di "eccezioni".

La domanda interessante, tuttavia, è ciò che Comodo dice ai suoi membri del forum CA / Browser, poiché PositiveSSL è di proprietà di Comodo. Il divieto di "nomi intranet" dovrebbe essere efficace il 1 ° novembre 2015 (non più certificati emessi oltre tale data) e applicato il 1 ° ottobre 2016 (certificati ancora validi con "nomi intranet") sono revocati). La mia ipotesi è che Comodo proverà a guadagnare denaro il più a lungo possibile e potrebbe tentare di negoziare un ritardo di phasing-out più lungo.