ฉันสามารถสร้างใบรับรอง Extended Validation SSL ของตัวเองได้หรือไม่


34

ฉันสามารถสร้างด้วย CA ของตัวเองและสร้างใบรับรอง SSL ที่ลงชื่อด้วยตนเองด้วยวิธีนี้ แต่อะไรที่ทำให้เบราว์เซอร์แสดงใบรับรองว่าเป็น "ใบรับรอง SSL ที่ผ่านการตรวจสอบเพิ่มเติม"

ฉันสามารถสร้างด้วยตัวเองและสอนให้เบราว์เซอร์ของฉันแสดงเป็น EV ได้หรือไม่?


คุณอาจดูที่นี่: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

คำตอบ:


35

วิธีที่ใบรับรอง EV SSL ทำงานคือติด OID เฉพาะผู้มีอำนาจในฟิลด์ส่วนขยายนโยบายใบรับรองของใบรับรอง (ซึ่งเป็นใบรับรอง X.509 มาตรฐานอย่างอื่น)

ดังที่ EK กล่าวว่าการอ้างอิง OID สำหรับแต่ละหน่วยงานจัดส่งเป็นส่วนหนึ่งของที่เก็บใบรับรองหลักของเบราว์เซอร์ อินเทอร์เฟซผู้ใช้ไม่อนุญาตให้คุณเพิ่ม CA ใหม่และพูดว่า "นี่คือ CA ที่ใช้ EV ได้และ UID is abcdef"

ฉันคิดว่ามันอาจเป็นไปได้ที่จะสร้างเบราว์เซอร์โอเพนซอร์ซจากแหล่งที่มาเพิ่มใบรับรอง CA ของคุณเองพร้อมกับ EV oid ไปยังรูทสโตร์ แต่คุณไม่ประสบความสำเร็จมากนักโดยทำเช่นนั้น เบราว์เซอร์จะไม่สอดคล้องกับแนวทาง EV / ฟอรัม EV ของฟอรัม (ซึ่ง จำกัด สิทธิ์ที่สามารถใช้ EV ได้) อีกต่อไป

Wikipedia มีข้อมูลเพิ่มเติมเกี่ยวกับใบรับรอง EV ที่นี่:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate


2

ไม่คุณไม่สามารถ รากที่เชื่อถือได้สำหรับสิ่งเหล่านี้ได้รับการแก้ไขภายในเบราว์เซอร์


3
นั่นหมายความว่าคุณต้องแก้ไขเบราว์เซอร์ เขาถามโดยเฉพาะว่าเขาสามารถ "สอนเบราว์เซอร์ของฉันเพื่อแสดงเป็น EV" ได้หรือไม่ หากเป็น FireFox หรือเบราว์เซอร์อื่นที่มีแหล่งข้อมูลอยู่เขาก็สามารถทำได้
David Schwartz

1
ในขณะที่เขาพูดจริง ๆ ว่า 'ฉันสามารถสอนเบราว์เซอร์ของฉัน' ได้ แต่คุณเท่านั้นที่เห็นใบรับรองของคุณเองเนื่องจาก EV นั้นไร้จุดหมายอย่างสิ้นเชิง ดังนั้นจุดประสงค์ของคำตอบของฉันคือต้องปฏิบัติได้จริง ถ้าคุณต้องการที่จะจู้จี้จุกจิกคำตอบของฉันยังคงถูกต้องเพราะการรวบรวมเบราว์เซอร์ใหม่ทั้งหมดจากแหล่งที่มาไม่ได้สอนเบราว์เซอร์ที่มีอยู่ของคุณ : P
JamesRyan

5
ฉันไม่เห็นด้วยว่ามันไม่มีประโยชน์ ตัวอย่างเช่นในองค์กรจะเป็นการดีที่จะวางไว้ในทุกเบราว์เซอร์เพื่อให้ทุกไซต์ภายในได้รับการยอมรับ
บาง

ทำไมคุณต้องใช้ใบรับรอง EV สำหรับสิ่งนั้น จำไว้ว่านี่ไม่ครอบคลุม certs ทั้งหมดคุณยังสามารถเพิ่ม root ที่เชื่อถือได้สำหรับใบรับรองที่ไม่ใช่ EV
JamesRyan

พวกเขาเป็นและพวกเขาไม่ได้ คุณสามารถนำเข้าและลบใบรับรองได้จากที่เก็บใบรับรองผู้ออกใบรับรองที่เชื่อถือได้ของคุณ ในฐานะผู้ดูแลระบบโดเมนสำหรับองค์กรของฉันฉันสามารถผลักดันใบรับรองหลักไปยังผู้ใช้ที่ได้รับการจัดการของฉันผ่านนโยบายเพื่อให้เบราว์เซอร์ของพวกเขาเชื่อถือใบรับรองที่ฉันสร้างขึ้นสำหรับเซิร์ฟเวอร์ภายในของฉัน ฉันเกินไปอยากจะรู้ว่าวิธีการลงทะเบียนใบรับรองภายในของฉันเพื่อให้ผู้ใช้ของฉันเห็น "EV" การตรวจสอบในระดับใบรับรองของพวกเขา หวังว่าจะมีคนบอกฉันว่าต้องทำอะไรบ้าง
Erik
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.