Frage Kann ich ein eigenes Extended Validation SSL-Zertifikat erstellen?


Ich kann durch eigene CA erstellen und auf diese Weise ein selbst signiertes SSL-Zertifikat generieren. Was aber braucht es, damit der Browser das Zertifikat als "Extended Validation SSL-Zertifikat" anzeigt?

Kann ich selbst eines erstellen und meinem Browser beibringen, es als EV zu zeigen?


34
2017-07-30 13:55


Ursprung


Vielleicht sehen Sie sich das an: blog.sidstamm.com/2009/04/roll-your-own-ev.html - Nick


Antworten:


Die Art und Weise, wie EV-SSL-Zertifikate funktionieren, besteht darin, eine autorisierungsspezifische OID in das Feld für die Erweiterung der Zertifikatsrichtlinien des Zertifikats zu schreiben (das ansonsten ein Standard-X.509-Zertifikat ist).

Wie EK sagte, werden die Referenz-OIDs für jede Autorität als Teil des Root-Zertifikatsspeichers des Browsers geliefert. Mit den Benutzeroberflächen können Sie keine neue Zertifizierungsstelle hinzufügen und sagen: "Dies ist eine EV-fähige Zertifizierungsstelle und die UID ist a.b.c.d.e.f".

Ich nehme an, dass es möglich ist, einen Open-Source-Browser aus der Quelle zu erstellen, indem Sie Ihr eigenes CA-Zertifikat zusammen mit seinem EV-Oid zum Root-Store hinzufügen, aber Sie haben damit nicht wirklich viel erreicht. Der Browser wäre nicht mehr konform mit den CA / Browser Forum EV-Richtlinien (die die EV-fähigen Behörden einschränken).

Wikipedia hat hier mehr Informationen zu EV-Zertifikaten:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate


35
2017-07-30 15:44





Nein, du kannst nicht. Die vertrauenswürdigen Wurzeln für diese sind im Browser behoben


2
2017-07-30 14:08



Das bedeutet nur, dass Sie den Browser ändern müssen. Er fragte speziell, ob er "meinem Browser beibringen könnte, es als EV zu zeigen". Wenn es FireFox oder ein anderer Browser ist, dessen Quelle verfügbar ist, dann kann er. - David Schwartz
Während er tatsächlich sagte "kann ich meinen Browser lehren", nur Sie Ihre eigenen Cert als EV ist völlig sinnlos. Also war das Ziel meiner Antwort, eher praktisch als pedantisch zu sein. Wenn Sie wirklich wählerisch werden wollen, ist meine Antwort immer noch korrekt, weil das Kompilieren eines ganz neuen Browsers aus der Quelle Ihren bestehenden Browser nicht lehrt. : P - JamesRyan
Ich stimme nicht zu, dass es sinnlos ist. Zum Beispiel wäre es in einer Organisation nett, sie in jeden Browser zu setzen, um alle internen Seiten zu erkennen. - some
Warum brauchen Sie dafür ein EV-Zertifikat? Denken Sie daran, dass dies nicht alle Zertifikate umfasst. Sie können dennoch einen vertrauenswürdigen Stamm für Nicht-EV-Zertifikate hinzufügen. - JamesRyan
Sie sind und sind es nicht. Sie können Zertifikate immer aus dem vertrauenswürdigen Stammzertifikatsspeicher importieren und entfernen. Als Domänenadministrator für meine Organisation kann ich über Richtlinien root certs an meine verwalteten Benutzer senden, sodass deren Browser Zertifikaten vertrauen, die ich für meine internen Server generiert habe. ich auch Ich möchte wissen, wie ich meine internen Zertifikate signieren kann, damit meine Benutzer in ihren Zertifikaten die EV-Level-Validierung sehen. Ich wünschte, jemand könnte mir sagen, was getan werden muss, um das zu tun. - Erik