Obtention d'un certificat SSL intermédiaire


20

Est-il possible d'acheter un certificat intermédiaire pour l'utiliser pour signer des certificats de sous-domaine? Il doit être reconnu par les navigateurs et je ne peux pas utiliser de certificat générique.

La recherche n'a rien révélé jusqu'à présent. Quelqu'un délivre-t-il de tels certificats?


3
DigiCert Enterprise vous permet de pré-valider votre domaine, puis de générer à grande échelle des certificats de sous-domaine. (Divulgation: je ne travaille pas pour DigiCert, mais mon employeur utilise leurs services de certificats.)
Moshe Katz

Réponses:


18

Le problème est que l'infrastructure et l'implémentation actuellement utilisées ne prennent pas en charge les certificats intermédiaires qui sont limités à certains (sous-) domaines seulement. Cela signifie en fait que vous pouvez utiliser n'importe quel certificat intermédiaire pour signer n'importe quel certificat que vous souhaitez et que les navigateurs lui feront confiance, même s'il s'agit de certificats pour des domaines que vous ne possédez pas.

Ainsi, ces certificats intermédiaires ne sont délivrés qu'à des organisations vraiment dignes de confiance, quoi que cela signifie (mais beaucoup d'argent est probablement impliqué).


9
Oui, des organisations vraiment dignes de confiance comme Comodo ou DigiNotar . Ou VeriSign ("Je recherche un certificat Microsoft ..." / "Voilà"). TURKTRUST , Digicert Sdn. Bhd , ...
basic6

En fait non - ils ont leur propre racine et intermédiaire. Le remplacement de la racine est complexe - donc ce qui est normalement fait est d'utiliser un certificat racine UNIQUEMENT pour signer un certificat CA intermédiaire, puis de mettre la racine ca hors ligne. ;)
TomTom

Choisir sur Google sans raison particulière, mais comme ils ont une autorité de certification intermédiaire et ne vendent pas de certificats, il y a une chance raisonnable qu'il puisse être volé et abusé sans détection rapide de MITM entre une paire d'hôtes faisant SMTP sur TLS. Je soupçonne que plusieurs administrateurs système ne penseraient pas trop si un certificat changeait pour une connexion SMTP en une connexion émise par Google.
Phil Lello

... En effet, c'est peut-être ce qui se passe lorsqu'une entreprise passe aux applications Google pour le courrier électronique.
Phil Lello

En fait, l'ICP actuelle le prend explicitement en charge. La section RFC 5280 définit l'extension des contraintes de nom qui permet la création d'une autorité de certification intermédiaire avec des restrictions sur les domaines pour lesquels ils peuvent créer. Le problème est que ce n'est pratiquement jamais mis en œuvre.
Jake

7

Non, car ce serait une violation du certificat d'origine - les navigateurs feraient confiance à vos certificats et vous pourriez commencer à émettre des trucs pour google.com etc. - et si vous le faites intelligemment, vous ne serez pas facile à obtenir.

Les autorités de certification intermédiaires ont beaucoup de pouvoir. Une autorité de certification intermédiaire est une autorité de signature de certificat - qui est approuvée via le certificat racine - et rien dans la spécification ne permet de limiter l'autorité de certification subordonnée.

En tant que tel, aucune organisation de certification réputée ne vous en donnera un.


3
Bien sûr, mais j'avais l'impression que vous pouviez limiter la portée du certificat intermédiaire (par exemple à un seul domaine). Une autre réponse semble impliquer que ce n'est pas le cas.
Alex B

1
Ce n'est pas le cas. Une autorité de certification intermédiaire est une autorité de signature de certificat - qui est approuvée via le certificat racine - et rien dans la spécification ne permet de limiter l'autorité de certification subordonnée.
TomTom

@TomTom: Bonne explication. J'ai pris la liberté de modifier votre commentaire dans votre réponse.
sleske

@alexb Je crois que c'est un cas de spécification qui le permet mais vous ne pouvez pas compter sur les implémentations client pour le supporter. Malheureusement, je ne trouve pas de référence mais je suis assez confiant.
Phil Lello

5

Il est / était possible d'acheter une autorité de certification valide auprès de GeoTrust.

Je n'ai pas pu trouver le produit sur les pages anglaises, mais voici une version archivée:

http://archive.is/q01DZ

Pour acheter GeoRoot, vous devez répondre aux exigences minimales suivantes:

  • Valeur nette de 5 M $ ou plus
  • Un minimum de 5 M $ en assurance erreurs et omissions
  • Statuts constitutifs (ou similaires) et un certificat de titulaire fourni
  • Un énoncé de pratique de certificat (CPS) écrit et maintenu
  • Un périphérique compatible FIPS 140-2 niveau 2 (GeoTrust a établi un partenariat avec SafeNet, Inc.) pour générer et stocker vos clés de certificat racine
  • Un produit CA approuvé de Baltimore / Betrusted, Entrust, Microsoft, Netscape ou RSA

Le produit est toujours disponible sur leur page allemande:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/


4

(Ceci est une nouvelle réponse à une vieille question car je pense que cela aide à comprendre qu'il n'y a pas de "magie" derrière les certificats et l'autorité de certification)

Dans le prolongement de la réponse approuvée donnée par @Steffen Ullrich

Le certificat complet pour identifier les sites Web n'est qu'une affaire d'argent. Les certificats X509 sont définis (entre autres) par RFC5280 et n'importe qui peut être une autorité de certification racine ou une autorité de certification intermédiaire, tout dépend de la confiance que vous avez envers cette entité.

Par exemple: si vous êtes dans un domaine Active Directory, votre contrôleur de domaine principal est une autorité de certification racine approuvée par défaut. Pendant ce temps, aucun autre tiers n'est impliqué.

Sur le large Internet, l'enjeu est d'identifier "à qui vous pouvez faire confiance" car il est bien plus grand qu'une seule entreprise. Et par conséquent, les fournisseurs de navigateurs fournissent une liste arbitraire personnalisée d'autorité de certification racine à laquelle il fera confiance sans demander votre consentement.

C'est-à-dire: si vous avez une très bonne relation avec la fondation Mozilla, votre propre autorité de certification racine arbitraire auto-signée pourrait être ajoutée à cette liste dans la prochaine version de leur navigateur Firefox ... Tout simplement parce qu'ils l'ont décidé!

De plus, il n'y a pas de RFC qui définissent le comportement et les règles sur le comportement des navigateurs concernant les certificats. Il s'agit d'un consensus implicite que parce que le "CN" du certificat est égal au nom de domaine, il est censé correspondre.

Parce que cela n'était pas suffisant à un moment donné, les fournisseurs de navigateurs ont tous implicitement considéré qu'un certificat générique du formulaire *.domain.comcorrespondrait à n'importe quel sous-domaine. Mais cela ne correspond qu'à un seul niveau: non, sub.sub.domain.compourquoi? Parce qu'ils l'ont décidé.

Maintenant, à propos de votre question initiale, qu'est-ce qui empêcherait que votre certificat de domaine principal soit autorisé à créer des sous-certificats pour vos propres sous-domaines, c'est un processus facile à vérifier par le navigateur, obtenant simplement la chaîne de certificats.

La réponse est: rien

(sauf que techniquement, vous devriez avoir un "drapeau" dans votre propre certificat de domaine pour le faire)

Les vendeurs de broswers, s'ils trouvent cela assez pratique, peuvent décider de l'appuyer.

Cependant, revenons à ma première déclaration, c'est une grosse affaire d'argent. Ainsi, les quelques autorités de certification racine qui ont des accords avec les fournisseurs de navigateurs dépensent des sommes importantes pour figurer dans cette liste. Et aujourd'hui, ils récupèrent cet argent parce que vous devez payer pour chaque certificat de sous-domaine individuel ou obtenir un caractère générique qui est beaucoup plus cher. S'ils vous permettaient de créer vos propres certificats de sous-domaine, cela réduirait considérablement leurs bénéfices. C'est pourquoi à partir d'aujourd'hui, vous ne pouvez pas le faire.

Eh bien, vous pouvez toujours, car il s'agirait strictement de certificats x509 valides, mais aucun navigateur ne le reconnaîtrait.


Petite piqûre avec votre exemple AD. Active Directory en lui-même n'utilise pas ou ne contient pas réellement une infrastructure PKI. Vous devez faire tourner cela séparément et éventuellement configurer le domaine pour approuver la chaîne, puis générer des certificats pour les contrôleurs de domaine. Sinon, bonne réponse.
Ryan Bolger
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.