Frage Kann ich über ein signiertes Zwischenzertifikat meine eigene CA sein?


Kann ich von einer Stammzertifizierungsstelle ein Zertifikat erhalten, mit dem ich dann meine eigenen Webserverzertifikate signieren kann? Ich würde, wenn möglich, ein unterzeichnetes Zertifikat als Zwischenprodukt verwenden, um andere Zertifikate zu signieren.

Ich weiß, dass ich meine Systeme in gewisser Weise mit "meinem" Zwischenzertifikat konfigurieren muss, um meinen Kunden Informationen über die Vertrauenskette zu liefern.

Ist das möglich? Sind Root-CAs bereit, ein solches Zertifikat zu signieren? Ist es teuer?

HINTERGRUND

Ich bin mit den Grundlagen von SSL vertraut, da es sich um die Sicherung des Web-Datenverkehrs über HTTP handelt. Ich habe auch ein grundlegendes Verständnis davon, wie die Vertrauenskette funktioniert, indem der Webverkehr "standardmäßig" gesichert wird, wenn Sie mit einem Zertifikat verschlüsseln, das eine gültige Kette bis zu einer Stammzertifizierungsstelle hat, wie vom Browser festgelegt / OS-Anbieter.

Mir ist auch bewusst, dass viele der Stammzertifizierungsstellen begonnen haben, Zertifikate für Endbenutzer (wie mich) mit Zwischenzertifikaten zu signieren. Das erfordert vielleicht etwas mehr Setup an meinem Ende, aber ansonsten funktionieren diese Zertifikate gut. Ich denke, das hat damit zu tun, dass sie ihren wertvollen privaten Schlüssel für die CA und das Desaster schützen, das es wäre, wenn ich jemals kompromittiert wäre.

Beispiele

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=de&s=dhs

Nun, wir sind definitiv nicht die Größe einer dieser Organisationen, aber sie scheinen so etwas zu tun. Es würde die Verwaltung dieser Zertifikate definitiv schmackhafter machen, insbesondere in Anbetracht der Tatsache, dass wir die Reichweite unserer E-Commerce-Plattform erweitern.


23
2017-08-27 14:40


Ursprung




Antworten:


Ihre Frage lautet für mich und für andere wie "Wie stelle ich Zertifikate an Entitäten innerhalb und außerhalb meiner Organisation aus, denen beliebige Internetbenutzer vertrauen?"

Wenn das deine Frage ist, dann lautet die Antwort "Du nicht". Wenn nicht, bitte klären.

Ich empfehle auch, "Windows Server 2008 PKI und Zertifikatsicherheit von Brian Komar" zu lesen und die verschiedenen PKI-Szenarien für Ihre Anwendungen zu berücksichtigen. Sie müssen Microsoft's CA nicht verwenden, um etwas aus dem Buch herauszuholen.


9
2017-08-27 16:12



Ich schätze den Input, aber ich denke, die Beispiele, die ich zitierte, begründen den "Sie nicht" -Teil Ihrer Aussage als falsch. Sehen Sie sich die Vertrauenskette für diese Zertifikate an und Sie werden feststellen, dass zwischen der Stammzertifizierungsstelle (mit Browser / Betriebssystem) und dem Zertifikat, das der Webserver zum Verschlüsseln des HTTPS-Datenverkehrs verwendet, ein unternehmensspezifisches Zertifikat vorhanden ist. - Clint Miller
Es ist nicht nur ein Zertifikat. Sun / Microsoft / Dell betreibt eine Zwischenzertifizierungsstelle. Beim Betrieb eines Unternehmens ist eine öffentlich zugängliche CA eine teure, komplizierte Aufgabe, die regelmäßige externe Prüfungen erfordert. Das Komar-Buch erklärt eine Reihe von CA-Szenarien und zeigt, warum es so komplex ist. Wenn Sie mit Ihrem Anwendungsdesign auf dem Weg zur CA sind, müssen Sie lange über Ihre Designziele und Implementierungsstrategien nachdenken. - duffbeer703


Eine schnelle Suche zeigt, dass solche Dinge existieren, aber mit der "kontaktieren Sie uns für ein Angebot" schlägt vor, es wird nicht billig sein:

https://www.globalsign.com/certificate-authority-root-signing/

Ich mache keine Angaben über das Unternehmen, aber auf dieser Seite finden Sie möglicherweise Bedingungen, um andere Unternehmen zu finden, die dasselbe tun.


8
2017-08-27 16:45





Wenn Sie das tun könnten, was wird Joe Malware daran hindern, ein Zertifikat für www.microsoft.com zu veröffentlichen und Ihnen seine eigene "spezielle" Marke von Updates über einen DNS-Hijack zu geben?

FWIW, hier erfahren Sie, wie Sie Ihr Stammzertifikat von Microsoft in das Betriebssystem integrieren können:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Die Anforderungen sind ziemlich steil.


3
2017-08-27 15:22



Nun, zwei Dinge, nehme ich an. 1. Es ist offensichtlich, dass mir keine Root-CA erlauben wird, Zertifikate für andere Entitäten zu signieren, die nicht zu meiner Organisation gehören. Sie können mich vielleicht nicht daran hindern, es einmal zu tun, aber es wird nicht lange dauern, bis das Zertifikat, das sie für mich signiert haben, auf den Sperrlisten steht und dann ist alles vorbei. 2. Noch wichtiger, welche "globalen" Techniken gibt es für DNS-Hijacking? Das Cache-Vergiftungsproblem, das Kaminsky berühmt gemacht hat, wurde von den DNS-Anbietern repariert, richtig? - Clint Miller
Wenn alle Zertifikate, über die Sie sprechen, Ihrer Organisation gehören, befinden sie sich in derselben Top-Level-Domain? In diesem Fall könnte ein Wildcard-SSL-Zertifikat (* .mydomain.com) eine bessere Strategie sein. - Tim Howland
Leider muss ich mehr Domains sichern, so dass die Wildcard (die ursprüngliche Strategie) für uns nicht funktioniert, da wir unser Geschäft auf Fälle ausgeweitet haben, in denen eine andere Domain gewünscht wird. Meine Lösung ist momentan SAN certs (alternative Subjektnamen), aber es ist etwas schmerzhaft, ein neues Zertifikat für jedes Hinzufügen / Löschen einer anderen Domain zu erstellen. - Clint Miller


Dies ist im Grunde nicht zu unterscheiden von einem Reseller für diese Stammzertifizierungsstelle, die sehr viel Aufwand und Geld kostet. Das liegt daran, dass Sie, wie Tim bemerkt, ein gültiges Zertifikat für jede Domain erstellen können, das nicht erlaubt sein sollte, es sei denn, Sie kontrollieren diese Domain.

Eine Alternative ist RapidSSL Reseller-Programm in dem sie die ganze harte Arbeit erledigen und von ihrer Root CA ausstellen.


2
2017-08-27 15:39



Ich könnte nicht mehr widersprechen! Ich möchte die Zertifikate nicht an andere weiterverkaufen. Ich möchte das Management der Sicherung der Kommunikation innerhalb unseres Geschäfts und zwischen unseren Unternehmen und Kunden vereinfachen. Tim hat eine berechtigte Frage gestellt, aber ich denke, du verstehst den Punkt nicht. - Clint Miller
Ich betrachte es aus Sicht der Zertifizierungsstelle - für sie ist es das, was Sie fragen, ob Sie eine vollwertige Zertifizierungsstelle für sich selbst werden wollen, was für sie ziemlich riskant ist - nur weil Sie sagen, dass Sie nicht wollen Zertifikate für andere zu machen bedeutet nicht, dass Sie nicht die technischen Fähigkeiten dazu haben werden. Daher werden sie ernsthafte Kontrollen brauchen, um sicherzugehen, dass Sie das nicht tun. - TRS-80


Stellen Sie sich diese zwei Fragen:

  1. Vertrauen Sie Ihren Benutzern, Stammzertifikate ordnungsgemäß in ihren Webbrowser zu importieren?
  2. Verfügen Sie über die Ressourcen, um mit einer vorhandenen Stammzertifizierungsstelle zusammenzuarbeiten?

Wenn die Antwort Ja zu 1 ist, CAcert hat dein Problem für dich gelöst. Wenn die Antwort auf 2 Ja ist, schauen Sie in die Liste der vertrauenswürdigen Stammzertifikate, die mit OpenSSL, Firefox, IE und Safari geliefert wurden, und suchen Sie eine, um Ihr Zwischenzertifikat zu signieren.


2
2017-08-27 16:46





Ich denke, dass es besser wäre, ein Platzhalterzertifikat von der Zertifizierungsstelle zu erhalten. Auf diese Weise können Sie dasselbe Zertifikat für jede Subdomäne Ihrer primären Domäne verwenden, aber Sie können für nichts anderes Zertifikate ausstellen.


2
2017-10-20 11:48





Neben dem Link von Joe H, hier ist ein Link, der tatsächlich funktioniert:

https://www.globalsign.com/certificate-authority-root-signing/

CA Root Signing ist nicht billig, aber diese Dinge existieren für größere Unternehmen.


0
2017-12-21 13:41



Bitte erwägen Sie, Ihre Antwort über den angegebenen Link zu erweitern. Link-Only-Antworten werden downvoted. - Konrad Gajewski


Ich weiß, das ist ein alter Post, aber ich habe lange nach etwas Ausschau gehalten, das fast identisch ist. Abgestimmt auf einige andere Beiträge ... ist es möglich ... alles sehr teuer und schwer zu etablieren. Dieser Artikel ist ein wenig hilfreich in der "wer macht es" und der allgemeine "was ist beteiligt" ....

https://aboutssl.org/types-ofroot-signing-certificates/

Was einige Extras anbelangt, die ich aus einigen verstreuten Quellen eingeholt habe ... einige der Anforderungen sind "substanzielles Eigenkapital" und "Versicherung" ... von denen ich herausgefunden habe, dass sie irgendwo von 1M $ bis 5M $ gelistet sind abhängig von der Quelle. Es ist also unnötig zu sagen, dass dies keine Option für ein kleines Unternehmen ist.

Darüber hinaus habe ich Beiträge gesehen, die besagen, dass es in der Regel fast ein Jahr dauern wird, alle Anforderungen zu erfüllen und durch alle Audit-Hoops zu springen. Darüber hinaus können die Nebenkosten, die mit dem gesamten Prozess verbunden sind, zwischen $ 100.000 und + 1 Million US-Dollar liegen, abhängig von den Kosten für Generalunternehmer + Rechtskosten + Arbeitskosten sowie davon, wie viele Prüfungen Sie durchlaufen. Also wieder kein Wagnis für ein kleines Unternehmen.


0
2018-04-12 14:47