Frage Ein intermediäres SSL-Zertifikat erhalten


Ist es möglich, ein Zwischenzertifikat zu kaufen, um Subdomain-Zertifikate zu signieren? Es muss von Browsern erkannt werden und ich kann kein Platzhalterzertifikat verwenden.

Die Suche ergab nichts bisher. Gibt jemand solche Zertifikate aus?


19
2018-06-17 05:36


Ursprung


DigiCert Enterprise Mit dieser Option können Sie Ihre Domäne vorab validieren und anschließend eine großflächige Subdomänenzertifikatgenerierung durchführen. (Disclosure: Ich arbeite nicht für DigiCert, aber mein Arbeitgeber nutzt seine Zertifikatsdienste.) - Moshe Katz


Antworten:


Das Problem ist, dass die aktuell verwendete Infrastruktur und Implementierung keine Zwischenzertifikate unterstützt, die nur auf einige (Sub-) Domänen beschränkt sind. Dies bedeutet, dass Sie jedes Zwischenzertifikat verwenden können, um ein beliebiges Zertifikat zu signieren, und die Browser vertrauen ihm, auch wenn dies Zertifikate für Domains sind, die Sie nicht besitzen.

Solche Intermediate-Zertifikate werden also nur an wirklich vertrauenswürdige Organisationen vergeben, was auch immer dies bedeutet (aber wahrscheinlich geht es um viel Geld).


16
2018-06-17 07:21



Ja, wirklich vertrauenswürdig Organisationen wie Comodo oder DigiNotar. Oder VeriSign ("Ich suche ein Microsoft-Zertifikat ..." / "Hier gehts"). TURKTRUST, Digicert Sdn. Bhd, ... - basic6
Eigentlich nein - sie haben ihre eigene Root und Intermediate. Das Ersetzen des Stammes ist komplex - was normalerweise getan wird, besteht darin, ein Stammzertifikat NUR zu verwenden, um ein Zwischen-CA-Zertifikat zu signieren, dann das Stamm-CA offline zu nehmen. ;) - TomTom
Ohne besonderen Grund auf Google zu picken, aber da sie eine Zwischenzertifizierungsstelle haben und keine Zertifikate verkaufen, gibt es eine vernünftige Chance, dass sie gestohlen und missbraucht werden kann, ohne eine schnelle Erkennung für MITM zwischen einem Paar von Hosts, die SMTP über TLS durchführen. Ich vermute, dass einige Sysadmins nicht zu viel nachdenken würden, wenn sich ein Cert für eine SMTP-Verbindung zu einer von Google ausgestellten ändert. - Phil Lello
... Dies kann passieren, wenn ein Unternehmen zu Google Apps für E-Mails wechselt. - Phil Lello
Tatsächlich unterstützt die aktuelle PKI dies ausdrücklich. Der Abschnitt RFC 5280 definiert die Erweiterung Name Constraints, die die Erstellung einer Zwischenzertifizierungsstelle mit Einschränkungen für die Domänen ermöglicht, für die sie erstellt werden können. Das Problem ist, dass es praktisch nie umgesetzt wird. - Jake


Nein, weil es eine Verletzung des ursprünglichen Zertifikats wäre - Browser würden Ihren Zertifikaten vertrauen und Sie könnten damit beginnen, Zeug für google.com usw. herauszugeben - und wenn Sie das schlau machen, wären Sie nicht einfach zu bekommen.

Zwischenzertifizierungsbehörden haben eine Menge Macht. Eine Zwischenzertifizierungsstelle ist eine Zertifikatsignierungsautorität, der über das Stammzertifikat vertraut wird, und nichts in der Spezifikation ermöglicht die Einschränkung der untergeordneten Zertifizierungsstelle.

Als solches wird keine seriöse Zertifikatsorganisation Ihnen einen geben.


7
2018-06-17 05:59



Sicher, aber ich hatte den Eindruck, dass Sie den Umfang des Zwischenzertifikats einschränken können (z. B. auf eine einzelne Domain). Eine andere Antwort scheint zu implizieren, dass dies nicht der Fall ist. - Alex B
Das ist nicht der Fall. Eine Zwischenzertifizierungsstelle ist eine Zertifikatsignierungsautorität, der über das Stammzertifikat vertraut wird, und nichts in der Spezifikation ermöglicht die Einschränkung der untergeordneten Zertifizierungsstelle. - TomTom
@ TomTom: Gute Erklärung. Ich habe mir erlaubt, Ihren Kommentar in Ihre Antwort zu schreiben. - sleske
@alexb Ich glaube, es ist ein Fall der Spezifikation erlaubt es, aber Sie können nicht auf Client-Implementierungen verlassen, um es zu unterstützen. Leider kann ich keine Referenz finden, bin aber ziemlich zuversichtlich. - Phil Lello


Es ist / war es möglich eine gültige CA von GeoTrust zu kaufen.

Ich konnte das Produkt auf den englischen Seiten nicht finden, aber hier ist eine archivierte Version:

http://archive.is/q01DZ

Um GeoRoot zu erwerben, müssen Sie folgende Mindestanforderungen erfüllen:

  • Nettowert von $ 5M oder mehr
  • Mindestens $ 5 Millionen in der Versicherung für Fehler und Auslassungen
  • Statuten (oder ähnlich) und ein Amtsinhaber-Zertifikat zur Verfügung gestellt
  • Eine schriftliche und gepflegte Certificate Practice Statement (CPS)
  • Ein FIPS 140-2 Level 2-kompatibles Gerät (GeoTrust ist Partner von SafeNet, Inc.) für die Schlüsselerzeugung und das Speichern Ihrer Stammzertifikatsschlüssel
  • Ein zugelassenes CA-Produkt von Baltimore / Betrusted, Entrust, Microsoft, Netscape oder RSA

Das Produkt ist noch auf ihrer deutschen Seite verfügbar:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/


5
2018-06-11 23:18





(Dies ist eine neue Antwort auf eine alte Frage, weil ich glaube, dass dies hilft zu verstehen, dass es keine "Magie" hinter Zertifikaten und CA gibt)

In Erweiterung der genehmigten Antwort von @Steffen Ullrich

Das gesamte Zertifikat, um Websites zu identifizieren, ist nur ein großes Geldgeschäft. Die X509-Zertifikate sind unter anderem definiert durch RFC5280 und jeder kann eine Stammzertifizierungsstelle oder eine Zwischenzertifizierungsstelle sein, alles hängt von dem Vertrauen ab, das Sie in Bezug auf diese Entität haben.

Beispiel: Wenn Sie sich in einer Active Directory-Domäne befinden, ist Ihr primärer Domänencontroller standardmäßig eine vertrauenswürdige Stammzertifizierungsstelle. Unterdessen sind absolut keine anderen Dritten involviert.

Im breiten Internet geht es darum herauszufinden, "wem man vertrauen kann", weil es viel größer ist als nur ein Unternehmen. Daher stellen die Browser-Anbieter eine benutzerdefinierte Liste der Stammzertifizierungsstellen bereit, denen sie vertrauen, ohne dass Sie dazu aufgefordert werden.

Das heißt, wenn Sie eine sehr gute Beziehung zur Mozilla-Stiftung haben, dann könnte Ihre eigene selbstsignierte Stammzertifizierungsstelle zu dieser Liste auf der nächsten Version ihres Firefox-Browsers hinzugefügt werden ... Nur weil sie es entschieden haben!

Darüber hinaus gibt es keinen RFC, der das Verhalten und die Regeln dafür definiert, wie sich Browser bezüglich der Zertifikate verhalten sollen. Dies ist ein impliziter Konsens, dass, weil das "CN" des Zertifikats gleich dem Domain-Namen ist, dass es übereinstimmen soll.

Da dies zu einem bestimmten Zeitpunkt nicht ausreichte, alarmierten die Browser-Anbieter implizit ein Wildcard-Zertifikat des Formulars *.domain.com würde jeder Subdomain entsprechen. Aber es entspricht nur einer Ebene: nein sub.sub.domain.com Warum das ? Weil sie das gerade beschlossen haben.

Nun zu Ihrer ursprünglichen Frage, was verhindern würde, dass Ihr primäres Domänenzertifikat Subzertifikate für Ihre eigenen Subdomains erstellen kann, das ist ein einfacher Prozess für den Browser, um zu überprüfen, nur um die Zertifikatskette zu erhalten.

Die Antwort ist: nichts

(außer dass Sie technisch eine "Flagge" in Ihrem eigenen Domain-Zertifikat haben sollten, um das zu tun)

Wenn sie dies für bequem genug halten, können sich die Broswers-Verkäufer dafür entscheiden, es zu unterstützen.

Aber zurück zu meiner ersten Aussage, das ist ein großes Geldgeschäft. Die wenigen Root-CAs, die Vereinbarungen mit den Browser-Anbietern getroffen haben, geben große Geldsummen aus, um in dieser Liste zu erscheinen. Und heute bekommen sie das Geld zurück, weil Sie für jedes einzelne Subdomain-Zertifikat bezahlen müssen oder eine Wildcard bekommen, die viel teurer ist. Wenn Sie Ihre eigenen Subdomain-Zertifikate erstellen können, würde dies ihren Profit enorm senken. Deshalb können Sie das heute nicht tun.

Nun, du kannst es immer noch, weil es strikt gültige x509-Zertifikate sein würde, aber kein Browser würde es erkennen.


3
2018-06-09 18:26



Kleiner Nitpick mit deinem AD Beispiel. Active Directory selbst verwendet oder enthält keine PKI-Infrastruktur. Sie müssen das separat ausführen und die Domäne optional so konfigurieren, dass sie der Kette vertraut und dann Zertifikate für die Domänencontroller generiert. Ansonsten, gute Antwort. - Ryan Bolger