Perché un certificato HTTPS di un server Web non può firmare i suoi certificati HTTPS di sottodominio?

Question

Perché un certificato HTTPS di un server Web non può firmare i suoi certificati HTTPS di sottodominio?

#1 da (11 voti)

3

Perché avere un certificato valido per "exampe.com" Non riesco a creare un certificato "figlio" per "sottodominio.esempio.com"?

Quali insicurezze sorgono se i browser iniziano a consentire ai certificati del dominio di essere una CA valida per i sottodomini?

tls certificate-authority

posta Vi. 03.04.2013 - 21:15

fonte

1 risposta

Leggi altre domande sui tag tls certificate-authority

Come si calcola il contatore di sequenza TSC (TKIP) in WPA? Interrompe le iniezioni di codice nel codice della pagina

score 11 · Accepted Answer

La convalida X.509 è nominalmente disgiunta dai nomi di dominio. X.509 è stato progettato nel contesto di La directory , una bestia mitica che può essere pensato come una grande directory LDAP mondiale che fa riferimento a tutti i server sulla Terra e altrove. (Storicamente, è andato nell'altro senso: LDAP è Lightweight Directory Access Protocol , una versione ridotta del protocollo che intendeva accedere alla Directory.)

Nella Directory, le entità sono designate dal loro Distinguished Name , una struttura ad albero che non ha alcuna relazione con i nomi di dominio (anche se alcune persone ne hanno forzato una nell'altra con componenti DN "DC" ).

Nella versione X.509 vera, il proprietario di un certificato, collegato a un nome di dominio, che agisce come CA subordinata per i propri sottodomini è teoricamente possibile , ma richiede l'uso del Name Constraints estensione, che è standard , ma quasi universalmente non supportato. L'idea sarebbe di emettere un certificato contenente il nome example.com , contrassegnato come CA (estensione Basic Constraints con cA impostato su TRUE ) e% estensioneName Constraints con una "sottostruttura consentita" di valore .example.com (questo dovrebbe vincolare ulteriori certificati ai nomi degli host sportivi, e questi nomi possono essere solo nei sottodomini di example.com ). È un'idea chiara, ma non riesce a causa della mancanza di supporto da parte dei browser. Quindi l'effetto netto, se una CA rilascia un certificato con questo tipo di dominio su un dominio, sarà uno dei due seguenti:

Il browser client rifiuta il certificato.
Il browser client accetta il certificato, ma lo avrebbe accettato anche se non fosse un sottodominio appropriato.

I produttori di browser non sono entusiasti di implementare questa funzione perché sarebbe inutile fino a quando la CA commerciale non la utilizzerà, e la CA commerciale non la utilizzerà finché non verrà implementata dai browser. Inoltre, le CA commerciali tendono a preferirlo se acquisti più certificati da loro anziché solo uno.

Per riassumere, questa è una triste storia di X.500 persone che non vanno d'accordo con le persone IP / DNS, ei browser che non implementano le funzionalità necessarie per far funzionare il tutto. È improbabile che le cose cambino nel prossimo futuro.