E 'possibile utilizzare un certificato SSL commerciale per emettere certificati per utenti finali?

1

La mia organizzazione si sta preparando ad acquistare circa 50 "unità" da Symantec, con le quali possiamo acquistare certificati SSL Verisign di vari livelli di autenticazione. La nostra organizzazione non ha - ma sicuramente vorrebbe - la possibilità di inviare e-mail con firma digitale a partner e clienti esterni e utilizzare lo stesso certificato per crittografare la posta elettronica tra gli altri membri dell'organizzazione.

La mia domanda è questa: supponiamo di acquistare un certificato SSL da Verisign - questo certificato sarebbe un intermedio della CA radice. Ma la nostra organizzazione potrebbe quindi utilizzare questo per un server di posta PKI globale (ad esempio, SecureMail.OurCompany.com) allo scopo di emettere certificati di utente finale (foglia).

È possibile (ha senso)? È possibile utilizzare il certificato emesso da Verisign per emettere i certificati di utente finale (foglia) da incorporare nel sistema di posta elettronica aziendale (MS Exchange)? Come sarebbe fatto? Quale software si userebbe per emettere certificati di end-user in questo modo?

    
posta Daniel 11.08.2014 - 20:05
fonte

2 risposte

2

Non si rilasciano certificati con un certificato SSL: si rilasciano certificati con un certificato CA intermedio . Questa è una bestia diversa; Ovvero, contrariamente a ciò che è colloquialmente noto come "un certificato SSL", un certificato CA intermedio è concesso alla CA in virtù del fatto di includere un Vincoli di base estensione con il cA flag impostato su TRUE . La presenza di quel flag è controllata da un software che convalida i certificati. Potresti, tecnicamente, firmare i certificati con le tue chiavi private SSL, ma nessuno accetterebbe questi certificati come validi.

Verisign o qualsiasi altra CA commerciale ti vendono un certificato CA intermedio solo in alcune condizioni piuttosto rigorose: ti costeranno un sacco di soldi e dovrai dimostrare che ti può essere affidato il potere di emettere certificati. Infatti, una volta ottenuto il certificato CA intermedio, nulla ti impedisce tecnicamente di falsificare i certificati falsi per google.com o microsoft.com che sarebbero accettati in silenzio da tutti i browser Web di tutto il mondo. Pertanto, Verisign vorrà assicurarsi di avere procedure per evitare tali imbrogli; in particolare, strong sicurezza fisica per l'archiviazione delle chiavi private, doppio controllo per tutte le operazioni amministrative, assicurazioni, procedure di revoca rigorosa e così via.

Sebbene tu abbia la logica giusta (in effetti, è solo questione di avere un "software di emissione di certificati", che può essere semplice come alcuni script OpenSSL), devi sottostimare i costi. Se si desidera utilizzare la propria CA (è ciò di cui si sta effettivamente parlando), sarà necessario farlo "correttamente", ovvero con mezzi proporzionati al livello richiesto di sicurezza e garanzia della qualità. Dovrai assumere uno specialista PKI. Il costo supererà di gran lunga quello di acquistare 50 certificati di entità finale ogni anno.

    
risposta data 11.08.2014 - 20:36
fonte
0

Sì, questo sarebbe possibile se qualsiasi CA ti venderebbe una CA così intermedia. Ma no, loro (si spera) non lo faranno.

Il problema è che l'attuale PKI SSL non supporta le restrizioni per le CA intermedie. Ciò significa che, una volta posseduta la CA intermedia, si sarà in grado di emettere i certificati desiderati. Questi sarebbero certificati per la tua infrastruttura, ma anche certificati per google.com o potrebbero anche creare un'altra CA intermedia sotto la tua CA, che ha gli stessi diritti.

A causa di questi problemi, le CA ufficialmente non vendono tali CA intermedie.

    
risposta data 11.08.2014 - 20:28
fonte

Leggi altre domande sui tag