In che modo i certificati di utilizzo delle chiavi "Certificate Signing" sono limitati ai domini che possono firmare?

Naviga le tue risposte
0

Molti grandi siti Web utilizzano i propri certificati di firma intermedi per generare certificati SSL per i loro domini. I certificati intermedi vengono emessi dalle solite CA radice ma hanno un attributo di utilizzo della chiave "Firma certificato". Tuttavia, in alcuni casi ho notato che il certificato intermedio viene semplicemente concesso a "Nome azienda" e non viene menzionato alcunché relativo a un nome di dominio. In che modo la società non è autorizzata a firmare certificati per qualsiasi nome di dominio diverso dal proprio?

La catena di certificati per Microsoft non menziona il nome del dominio in nessun altro posto oltre l'ultimo certificato della catena.

    
posta Monstieur 05.10.2014 - 12:48
fonte

2 risposte

0

Many big websites use their own intermediate signing certificates to generate SSL certificates for their domains.

No, di solito no. Solo pochissimi hanno la propria CA firmata da una CA radice.

How is the company prevented from signing certificates for any domain name other than its own?

Non lo è, ed è per questo che di solito non ottieni un certificato CA per firmare i tuoi certificati. Oppure puoi ottenerlo solo con molte restrizioni e molti soldi.

    
risposta data 05.10.2014 - 13:01
fonte
1

Hai appena mostrato perché il funzionamento di una CA è una posizione di responsabilità e perché i produttori di sistemi operativi e browser Web limitano l'elenco delle CA attendibili a circa 100 in tutto il mondo per impostazione predefinita.

Quando una CA delega la firma a una CA subordinata, la CA madre imporrà tipicamente vincoli di nome o altri vincoli di policy sulla CA subordinata (ad esempio, una CA subordinata decrescente da "CA1 di interoperabilità DoC CCEB USA" potrebbe richiedere emettendo CA per firmare solo certificati di Autenticazione macchina se le voci SubjectCN e SubjectAN terminano in ".mil"). La CA madre può inoltre limitare per policy la lunghezza della catena, impedendo a una CA subordinata di delegare CA subordinate aggiuntive.

Gran parte di questo è documentato e curato come standard e best practice dal forum CA / Browser. Inoltre, il white paper di Entrust sulla cross-signing peer di CA ha alcune informazioni interessanti e accessibili sui vincoli delle policy.

Spero che questo aiuti.

    
risposta data 05.10.2014 - 22:09
fonte

Leggi altre domande sui tag

Protocollo di autenticazione manuale pubblico / privato user-friendly Certificato SSL da utilizzare con SSL Inspection su Zyxel USG110