ฉันสามารถเป็น CA ที่เชื่อถือได้ของตัวเองผ่านใบรับรองกลางที่ลงนามแล้วหรือไม่?


23

ฉันสามารถรับใบรับรองจากรูต CA ที่ฉันสามารถใช้เพื่อเซ็นชื่อในใบรับรองเว็บเซิร์ฟเวอร์ของตัวเองได้หรือไม่? ถ้าเป็นไปได้ฉันจะใช้ใบรับรองที่ลงนามเป็นสื่อกลางในการเซ็นรับรองอื่น ๆ

ฉันรู้ว่าฉันจะต้องกำหนดค่าระบบของฉันในบางวิธีด้วยใบรับรองระดับกลางของฉัน "" เพื่อที่จะให้ข้อมูลเกี่ยวกับห่วงโซ่ความเชื่อมั่นที่มีต่อลูกค้าของฉัน

เป็นไปได้ไหม CA รูตเต็มใจลงชื่อใบรับรองเช่นนี้หรือไม่ มันแพง?

พื้นหลัง

ฉันคุ้นเคยกับพื้นฐานของ SSL เนื่องจากเกี่ยวข้องกับการรักษาความปลอดภัยของการรับส่งข้อมูลทางเว็บผ่าน HTTP ฉันยังมีความเข้าใจพื้นฐานเกี่ยวกับวิธีการทำงานของ chain of trust ในการรับส่งข้อมูลเว็บนั้นปลอดภัย "โดยค่าเริ่มต้น" ถ้าคุณเข้ารหัสด้วยใบรับรองที่มีเชนที่ถูกต้องตลอดทางจนถึงรูต CA ตามที่กำหนดโดยเบราว์เซอร์ / ผู้ขายระบบปฏิบัติการ

ฉันยังทราบด้วยว่า CA รูตจำนวนมากเริ่มลงนามใบรับรองสำหรับผู้ใช้ปลายทาง (เช่นฉัน) ด้วยใบรับรองระดับกลาง นั่นอาจต้องใช้การตั้งค่าอีกเล็กน้อยในตอนท้ายของฉัน แต่ไม่เช่นนั้นใบรับรองเหล่านั้นจะใช้ได้ดี ฉันเดาว่าสิ่งนี้เกี่ยวข้องกับการปกป้องคีย์ส่วนตัวที่มีค่าสำหรับ CA และความหายนะที่จะเกิดขึ้นหากฉันถูกบุกรุก

ตัวอย่าง

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

ตอนนี้เราไม่ได้มีขนาดขององค์กรเหล่านั้นอย่างแน่นอน แต่พวกเขาดูเหมือนจะทำอะไรแบบนี้ แน่นอนว่ามันจะทำให้การจัดการใบรับรองเหล่านี้น่าพึงพอใจมากขึ้นโดยเฉพาะอย่างยิ่งการพิจารณาทางเดียวที่เราจะขยายการเข้าถึงแพลตฟอร์มอีคอมเมิร์ซของเรา

คำตอบ:


9

คำถามของคุณอ่านถึงฉันและกับคนอื่น ๆ ในฐานะ "ฉันจะออกใบรับรองไปยังหน่วยงานภายในและภายนอกองค์กรของฉันที่เชื่อถือได้โดยผู้ใช้อินเทอร์เน็ตตามอำเภอใจได้อย่างไร"

หากนั่นคือคำถามของคุณมากกว่าคำตอบคือ "คุณทำไม่ได้" หากไม่ใช่โปรดอธิบายให้ชัดเจน

ฉันยังแนะนำให้อ่าน "Windows Server 2008 PKI และใบรับรองความปลอดภัยโดย Brian Komar" และพิจารณาสถานการณ์ PKI ทั้งหมดสำหรับแอปพลิเคชันของคุณ คุณไม่จำเป็นต้องใช้ CA ของ Microsoft เพื่อดึงบางสิ่งบางอย่างออกจากหนังสือ


ฉันซาบซึ้งต่อสิ่งที่ป้อนเข้ามา แต่ฉันคิดว่าตัวอย่างที่ฉันอ้างถึงได้สร้างส่วนของ "คำสั่งของคุณ" ไม่ถูกต้อง ดูห่วงโซ่แห่งความไว้วางใจสำหรับใบรับรองเหล่านั้นและคุณจะเห็นว่ามีใบรับรองเฉพาะขององค์กรระหว่างรูต CA (กระจายกับเบราว์เซอร์ / ระบบปฏิบัติการ) และใบรับรองที่เว็บเซิร์ฟเวอร์ใช้เพื่อเข้ารหัสปริมาณการใช้ HTTPS
Clint Miller

13
มันไม่ใช่แค่ใบรับรอง Sun / Microsoft / Dell กำลังใช้งาน CA ระดับกลาง การดำเนินงานในองค์กร CA สาธารณะต้องเผชิญกับงานที่มีราคาแพงและซับซ้อนซึ่งต้องใช้การตรวจสอบภายนอกเป็นระยะ หนังสือ Komar อธิบายสถานการณ์ของ CA จำนวนหนึ่งและแสดงให้เห็นว่าทำไมมันจึงซับซ้อน หากการออกแบบแอปพลิเคชันของคุณกำลังนำคุณไปสู่การก้าวสู่การเป็น CA คุณจะต้องคิดถึงเรื่องการออกแบบและกลยุทธ์การนำไปปฏิบัติ
duffbeer703

8

การค้นหาอย่างรวดเร็วแสดงให้เห็นว่าสิ่งต่าง ๆ นั้นมีอยู่ แต่ด้วย 'ติดต่อเราเพื่อขอใบเสนอราคา' แนะนำว่าจะไม่ถูก:

https://www.globalsign.com/en/certificate-authority-root-signing/

ฉันไม่อ้างสิทธิ์ใด ๆ เกี่ยวกับ บริษัท แต่หน้านั้นอาจมีข้อกำหนดให้คุณใช้เพื่อค้นหา บริษัท อื่นที่ทำเช่นเดียวกัน


3

หากคุณสามารถทำได้สิ่งที่จะป้องกันโจมัลแวร์จากการออกใบรับรองสำหรับ www.microsoft.com และให้การปรับปรุงแบรนด์ "พิเศษ" ของคุณเองผ่านการจี้ DNS

FWIW ต่อไปนี้เป็นวิธีรับใบรับรองหลักของคุณที่ Microsoft รวมไว้ในระบบปฏิบัติการ:

http://technet.microsoft.com/en-us/library/cc751157.aspx

ความต้องการค่อนข้างสูงชัน


ฉันคิดว่า 2 สิ่ง 1. เห็นได้ชัดว่าไม่มีรูท CA ที่จะอนุญาตให้ฉันเซ็น certs สำหรับองค์กรอื่น ๆ ที่ไม่ได้เป็นส่วนหนึ่งขององค์กรของฉัน พวกเขาอาจไม่สามารถป้องกันฉันจากการทำเพียงครั้งเดียว แต่มันจะไม่นานจนกว่าใบรับรองที่พวกเขาเซ็นชื่อให้ฉันจะอยู่ในรายการเพิกถอนแล้วมันจะจบลง 2. ยิ่งมีนัยสำคัญยิ่งขึ้นเทคนิคการวัดระดับ "ระดับโลก" สำหรับ DNS hijacking นั้นมีอะไรบ้าง ปัญหาการวางยาพิษที่ Kaminsky สร้างชื่อเสียงได้รับการแก้ไขโดยผู้ขาย DNS ใช่ไหม?
Clint Miller

หากใบรับรองทั้งหมดที่คุณกำลังพูดถึงเป็นขององค์กรของคุณพวกเขาอยู่ในโดเมนระดับบนสุดเดียวกันหรือไม่ ถ้าเป็นเช่นนั้นใบรับรองไวลด์การ์ด SSL (* .mydomain.com) อาจเป็นกลยุทธ์ที่ดีกว่า
Tim Howland

น่าเสียดายที่ฉันมีโดเมนมากขึ้นเพื่อความปลอดภัยดังนั้น wildcard (ซึ่งเป็นกลยุทธ์เริ่มต้น) จะไม่ทำงานสำหรับเราเนื่องจากเราได้ขยายธุรกิจของเราไปยังกรณีที่ต้องการโดเมนที่แตกต่างกัน โซลูชันของฉันในขณะนี้คือ SAN certs (ชื่อสำรองอื่น ๆ ) แต่มันค่อนข้างเจ็บปวดที่จะสร้างใบรับรองใหม่สำหรับการเพิ่ม / ลบทุกโดเมนอื่น
Clint Miller

2

นี่เป็นความแตกต่างที่เห็นได้ชัดจากการเป็นผู้ค้าปลีกสำหรับ CA รูตนั้นซึ่งเกือบจะแน่นอนว่าต้องใช้ความพยายามและเงินจำนวนมาก นี่เป็นเพราะทิมโน้ตคุณสามารถสร้างใบรับรองที่ถูกต้องสำหรับโดเมนใด ๆ ซึ่งไม่ควรได้รับอนุญาตเว้นแต่คุณจะควบคุมโดเมนนั้น

อีกทางเลือกหนึ่งคือโปรแกรมผู้ค้าปลีกของ RapidSSLที่พวกเขาทำงานหนักและออกจากรูต CA


2
ฉันไม่เห็นด้วยอีกต่อไป! ฉันไม่ต้องการขาย certs ให้คนอื่น ฉันต้องการทำให้การจัดการการสื่อสารที่ปลอดภัยภายในธุรกิจของเราและระหว่างธุรกิจและลูกค้าของเราง่ายขึ้น ทิมถามคำถามที่ถูกกฎหมาย แต่ฉันคิดว่าคุณไม่มีประเด็น
Clint Miller

3
ฉันมองจากมุมมองของ CA - สำหรับพวกคุณสิ่งที่คุณขอคือการกลายเป็น CA ที่เต็มเปี่ยมไปด้วยสิทธิ์ของคุณเองซึ่งค่อนข้างเสี่ยงสำหรับพวกเขา - เพียงเพราะคุณบอกว่าคุณไม่ต้องการ การทำ certs เพื่อคนอื่นไม่ได้หมายความว่าคุณจะไม่มีความสามารถด้านเทคนิคดังนั้นพวกเขาจะต้องการการควบคุมที่จริงจังเพื่อให้แน่ใจว่าคุณจะไม่ทำ
TRS-80

2

ถามตัวเองด้วยคำถามสองข้อนี้:

  1. คุณเชื่อถือผู้ใช้ของคุณเพื่อนำเข้าใบรับรองหลักในเว็บเบราว์เซอร์ของพวกเขาหรือไม่?
  2. คุณมีทรัพยากรที่จะร่วมมือกับรูท CA ที่มีอยู่หรือไม่?

หากคำตอบคือใช่ถึง 1 CAcertได้แก้ปัญหาให้คุณแล้ว หากคำตอบของ 2 คือใช่ให้ดูในรายการใบรับรองหลักที่เชื่อถือได้ที่จัดส่งมาพร้อมกับ OpenSSL, Firefox, IE และ Safari และค้นหาใบรับรองเพื่อลงนามใบรับรองตัวกลางของคุณ


2

ฉันคิดว่าสิ่งที่คุณควรทำดีกว่าคือการรับใบรับรองตัวแทนจาก CA เพื่อให้คุณสามารถใช้ใบรับรองเดียวกันกับโดเมนย่อยใด ๆ ของโดเมนหลักของคุณ แต่คุณไม่สามารถออกใบรับรองสิ่งอื่นใดได้


1

เป็นไปได้ที่ root CA จะออกใบรับรองซึ่งทำให้สามารถออกใบรับรองอื่น ๆ ได้ แต่ภายใต้โดเมนที่ระบุ พวกเขาจำเป็นต้องตั้งค่าBasicConstraints / CA: จริงและnameConstraints / อนุญาต; DNS.0 = example.com

จากนั้นคุณมีอิสระในการใช้งาน CA ของคุณเองและออกใบรับรองเช่นtest.example.com (แต่ไม่ใช่test.foobar.com ) ซึ่งจะได้รับความเชื่อถือจากเว็บสาธารณะ ฉันไม่ทราบรูต CA ที่ให้บริการนี้ แต่เป็นไปได้แน่นอน หากใครก็ตามสะดุดกับผู้ให้บริการดังกล่าวโปรดแจ้งให้เราทราบ


0

นอกจากลิงค์จาก Joe H นี่คือลิงค์ที่ใช้งานได้จริง:

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing ไม่ถูก แต่สิ่งเหล่านี้มีอยู่สำหรับองค์กรขนาดใหญ่


โปรดพิจารณาขยายคำตอบของคุณจากลิงก์ที่ให้ไว้ ลิงก์เฉพาะคำตอบเท่านั้นรับการลงคะแนน
Konrad Gajewski

0

ฉันรู้ว่านี่เป็นโพสต์เก่า แต่ฉันดูยาวและยากสำหรับสิ่งที่เกือบจะเหมือนกันกับเรื่องนี้ สะท้อนจากการโพสต์อื่น ๆ ไม่กี่ ... มันเป็นไปได้ ... ทั้งหมดไม่ว่าจะค่อนข้างแพงและยากที่จะสร้าง บทความนี้เป็นประโยชน์เล็กน้อยใน "ใครทำ" และ "สิ่งที่เกี่ยวข้อง" ทั่วไป

https://aboutssl.org/types-of-root-signing-certificates/

สำหรับความพิเศษบางอย่างที่ฉันได้รับจากแหล่งที่กระจัดกระจาย ... ข้อกำหนดบางอย่างมี "ส่วนที่สำคัญ" และ "การประกันภัย" ... ซึ่งฉันได้พบว่ามีการระบุไว้ที่ใดก็ได้จาก $ 1M ถึง $ 5M ขึ้นอยู่กับแหล่งที่มา ดังนั้นไม่จำเป็นต้องพูดว่านี่ไม่ใช่ตัวเลือกสำหรับธุรกิจขนาดเล็ก

นอกจากนี้ฉันเคยเห็นโพสต์ที่ระบุว่าโดยปกติแล้วจะใช้เวลาเกือบหนึ่งปีในการตอบสนองความต้องการทั้งหมดและเพื่อตรวจสอบห่วงทั้งหมดของการตรวจสอบ นอกจากนี้ค่าใช้จ่ายเสริมที่เกี่ยวข้องกับกระบวนการทั้งหมดสามารถอยู่ในช่วงตั้งแต่ $ 100k ถึง + $ 1M ขึ้นอยู่กับผู้รับเหมาทั่วไป + ค่าใช้จ่ายทางกฎหมาย + ค่าแรงรวมถึงจำนวนการตรวจสอบที่คุณต้องทำ ดังนั้นไม่ใช่ธุรกิจสำหรับธุรกิจขนาดเล็ก

โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.