รับใบรับรอง SSL ระดับกลาง

เป็นไปได้ไหมที่จะซื้อใบรับรองระดับกลางเพื่อใช้ในการลงนามใบรับรองโดเมนย่อย เบราว์เซอร์จะต้องได้รับการยอมรับและฉันไม่สามารถใช้ใบรับรองตัวแทน

การค้นหาไม่ปรากฏอะไรเลย มีใครออกใบรับรองดังกล่าวหรือไม่

ปัญหาคือว่าโครงสร้างพื้นฐานที่ใช้ในปัจจุบันและการใช้งานไม่รองรับใบรับรองระดับกลางซึ่ง จำกัด อยู่ที่โดเมน (ย่อย) บางโดเมนเท่านั้น ซึ่งหมายความว่าคุณสามารถใช้ใบรับรองระดับกลางใด ๆ เพื่อลงนามใบรับรองใด ๆ ที่คุณต้องการและเบราว์เซอร์จะเชื่อถือแม้ว่าจะเป็นใบรับรองสำหรับโดเมนที่คุณไม่ได้เป็นเจ้าของ

ดังนั้นใบรับรองระดับกลางดังกล่าวจะมอบให้กับองค์กรที่น่าเชื่อถือจริงๆเท่านั้นไม่ว่าสิ่งนี้จะหมายถึงอะไร (แต่อาจเกี่ยวข้องกับเงินจำนวนมาก)

ไม่เพราะมันจะเป็นการละเมิดใบรับรองดั้งเดิม - เบราว์เซอร์จะเชื่อถือใบรับรองของคุณและคุณสามารถเริ่มต้นสร้างเนื้อหาสำหรับ google.com และอื่น ๆ - และถ้าคุณทำอย่างนั้นคุณจะไม่ได้รับความสะดวก

ผู้ออกใบรับรองระดับกลางมีอำนาจมาก CA ระดับกลางเป็นผู้มีอำนาจลงนามในใบรับรอง - ซึ่งเชื่อถือได้ผ่านใบรับรองหลัก - และไม่มีข้อมูลใดในข้อกำหนดที่อนุญาตให้ จำกัด CA รอง

ดังนั้นจึงไม่มีองค์กรออกใบรับรองที่น่าเชื่อถือให้ใคร

เป็นไปได้ / เป็นไปได้ที่จะซื้อ CA ที่ถูกต้องจาก GeoTrust

ฉันไม่สามารถค้นหาผลิตภัณฑ์ในหน้าภาษาอังกฤษได้ แต่นี่เป็นรุ่นที่เก็บถาวร:

http://archive.is/q01DZ

ในการซื้อ GeoRoot คุณจะต้องปฏิบัติตามข้อกำหนดขั้นต่ำดังต่อไปนี้:

• มูลค่าสุทธิ $ 5M หรือมากกว่า
• ขั้นต่ำ $ 5M ในการประกันภัยข้อผิดพลาดและการละเว้น
• บทความของ บริษัท (หรือคล้ายกัน) และใบรับรองความรับผิดชอบ
• คำชี้แจงการปฏิบัติใบรับรอง (CPS) ที่เป็นลายลักษณ์อักษรและเก็บรักษาไว้
• อุปกรณ์ที่สอดคล้องกับ FIPS 140-2 ระดับ 2 (GeoTrust ได้ร่วมมือกับ SafeNet, Inc. ) สำหรับการสร้างคีย์และจัดเก็บคีย์ใบรับรองหลักของคุณ
• ผลิตภัณฑ์ CA ที่ได้รับการรับรองจาก Baltimore / Betrusted, Entrust, Microsoft, Netscape หรือ RSA

ผลิตภัณฑ์ยังคงมีอยู่ในหน้าภาษาเยอรมันของพวกเขา:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

(นี่เป็นคำตอบใหม่สำหรับคำถามเก่าเพราะฉันเชื่อว่าสิ่งนี้ช่วยให้เข้าใจว่าไม่มี "เวทมนต์" อยู่หลังใบรับรองและ CA)

เป็นส่วนขยายของคำตอบที่ได้รับอนุมัติจาก @Steffen Ullrich

ใบรับรองทั้งหมดเพื่อระบุสิ่งที่เว็บไซต์เป็นเพียงธุรกิจเงินขนาดใหญ่ ใบรับรอง X509 มีการกำหนดไว้ (ในหมู่อื่น ๆ ) โดยRFC5280และทุกคนสามารถเป็นรูท CA หรือ CA ระดับกลางได้ทั้งหมดขึ้นอยู่กับความน่าเชื่อถือที่คุณมีเกี่ยวกับเอนทิตีนั้น

เช่น: หากคุณอยู่ในโดเมน Active Directory ตัวควบคุมโดเมนหลักของคุณจะเป็นผู้ออกใบรับรองหลักที่เชื่อถือได้โดยค่าเริ่มต้น ในขณะเดียวกันไม่มีบุคคลที่สามอื่น ๆ ที่เกี่ยวข้อง

บนอินเทอร์เน็ตแบบกว้าง ๆ ปัญหาคือการระบุ "คนที่คุณเชื่อถือได้" เพราะมีขนาดใหญ่กว่า บริษัท เพียง บริษัท เดียว ดังนั้นผู้จำหน่ายเบราว์เซอร์จึงมีรายการรูท CA ที่กำหนดเองซึ่งจะเชื่อถือได้โดยไม่ต้องแจ้งให้คุณทราบ

Ie: หากคุณมีความสัมพันธ์ที่ดีกับรากฐาน Mozilla คุณสามารถเพิ่ม root CA ที่ลงชื่อด้วยตนเองของคุณเองในรายการเบราว์เซอร์ Firefox รุ่นถัดไป ... เพียงเพราะพวกเขาตัดสินใจ!

นอกจากนี้ยังไม่มี RFC ที่กำหนดพฤติกรรมและกฎระเบียบเกี่ยวกับวิธีการที่เบราว์เซอร์ควรทำงานเกี่ยวกับใบรับรอง นี่เป็นข้อสรุปโดยนัยว่าเนื่องจาก "CN" ของใบรับรองเท่ากับชื่อโดเมนว่าควรจะตรงกัน

เนื่องจากสิ่งนี้ยังไม่เพียงพอในบางจุดผู้ขายเบราว์เซอร์จึงมีอายุที่แน่นอนว่าใบรับรองไวด์การ์ดในรูปแบบ*.domain.comจะตรงกับโดเมนย่อยใด ๆ แต่มันตรงกับระดับเดียวเท่านั้น: sub.sub.domain.comทำไมล่ะ เพราะพวกเขาเพิ่งตัดสินใจ

ตอนนี้เกี่ยวกับคำถามเดิมของคุณสิ่งที่จะป้องกันไม่ให้ใบรับรองโดเมนหลักของคุณได้รับอนุญาตให้สร้างใบรับรองย่อยสำหรับโดเมนย่อยของคุณเองซึ่งเป็นกระบวนการที่ง่ายสำหรับเบราว์เซอร์ในการตรวจสอบเพียงรับห่วงโซ่ใบรับรอง

คำตอบคือ: ไม่มีอะไร

(ยกเว้นว่าในทางเทคนิคคุณควรมี "ค่าสถานะ" ในใบรับรองโดเมนของคุณเอง)

ผู้ขาย broswers หากพวกเขาพบว่าสิ่งนี้สะดวกเพียงพออาจตัดสินใจที่จะสนับสนุน

อย่างไรก็ตามกลับไปที่คำสั่งแรกของฉันนี่คือธุรกิจเงินขนาดใหญ่ ดังนั้นรูต CA สองสามรูทที่มีข้อตกลงกับผู้ขายเบราว์เซอร์จึงต้องใช้เงินจำนวนมากเพื่อให้ปรากฏในรายการนั้น และวันนี้พวกเขาได้รับเงินคืนเพราะคุณต้องจ่ายเงินสำหรับแต่ละใบรับรองย่อยหรือได้รับไวด์การ์ดซึ่งแพงกว่ามาก หากพวกเขาอนุญาตให้คุณสร้างใบรับรองโดเมนย่อยของคุณเองสิ่งนี้จะลดผลกำไรของพวกเขาอย่างมาก ดังนั้นนี่คือเหตุผลว่า ณ วันนี้คุณไม่สามารถทำได้

คุณยังสามารถทำได้เพราะจะเป็นใบรับรอง x509 ที่ถูกต้อง แต่ไม่มีเบราว์เซอร์ใด ๆ ที่จะจำได้