एक मध्यवर्ती एसएसएल प्रमाणपत्र प्राप्त करना

20

क्या उप-प्रमाणपत्रों पर हस्ताक्षर करने के लिए इसका उपयोग करने के लिए एक मध्यवर्ती प्रमाण पत्र खरीदना संभव है? इसे ब्राउज़रों द्वारा पहचाना जाना चाहिए और मैं वाइल्डकार्ड प्रमाणपत्र का उपयोग नहीं कर सकता।

खोज ने अब तक कुछ नहीं किया। क्या कोई ऐसे प्रमाण पत्र जारी कर रहा है?

ssl 
एलेक्स बी
स्रोत
3
DigiCert Enterprise आपको अपने डोमेन को पूर्व-मान्य करने देता है और फिर बड़े पैमाने पर उपडोमेन प्रमाण पत्र निर्माण करता है। (प्रकटीकरण: मैं DigiCert के लिए काम नहीं करता, लेकिन मेरे नियोक्ता अपनी प्रमाण पत्र सेवाओं का उपयोग करते हैं।)
मोशे काट्ज़

जवाबों:

18

समस्या यह है कि वर्तमान में उपयोग किए गए बुनियादी ढांचे और कार्यान्वयन मध्यवर्ती प्रमाणपत्रों का समर्थन नहीं करते हैं जो केवल कुछ (उप) डोमेन तक सीमित हैं। इसका प्रभाव यह है कि आप किसी भी प्रमाण पत्र को अपने इच्छित प्रमाणपत्र पर हस्ताक्षर करने के लिए किसी भी मध्यवर्ती प्रमाणपत्र का उपयोग कर सकते हैं और ब्राउज़र इस पर भरोसा करेंगे, भले ही यह उन डोमेन के लिए प्रमाण पत्र होगा जो आपके पास नहीं हैं।

इस प्रकार, इस तरह के मध्यवर्ती प्रमाण पत्र केवल वास्तव में भरोसेमंद संगठनों को दिए जाते हैं, जो भी इसका मतलब है (लेकिन बहुत सारे पैसे शामिल हैं)।

स्टीफेन यूरलिक
स्रोत
9
हां, वास्तव में भरोसेमंद संगठन जैसे कि कोमोडो या डिजीनोटार । या वेरीसाइन ("मैं एक Microsoft प्रमाणपत्र की तलाश में हूं ..." / "यहां आप जाते हैं")। तुर्की , डिजीर्ट Sdn। Bhd , ...
बेसिक
वास्तव में नहीं - वे अपनी जड़ और मध्यवर्ती चलाते हैं। रूट को बदलना जटिल है - इसलिए आमतौर पर जो किया जाता है वह एक रूट प्रमाणपत्र का उपयोग करके केवल एक मध्यवर्ती सीए प्रमाण पत्र पर हस्ताक्षर करने के लिए होता है, फिर रूट सीए को ऑफ़लाइन ले जाएं। ;)
टॉमटॉम
बिना किसी विशेष कारण के Google पर पिक करना, लेकिन चूंकि उनके पास एक मध्यवर्ती CA है और वे सीट्स नहीं बेचते हैं, इसलिए एक उचित मौका है कि वह MITM के लिए तेजी से पहचान के बिना चुराया और दुर्व्यवहार किया जा सकता है, जो टीएलएस पर SMTP कर रहे मेजबान की एक जोड़ी के बीच है। मुझे संदेह है कि यदि Google द्वारा जारी किए गए SMTP कनेक्शन के लिए कोई प्रमाणपत्र बदल गया तो काफी कुछ sysadmins बहुत अधिक नहीं सोचेंगे।
फिल लेलो
... वास्तव में, यह तब हो सकता है जब कोई व्यवसाय ईमेल के लिए Google ऐप्स पर स्विच करता है।
फिल लेलो
वास्तव में वर्तमान पीकेआई स्पष्ट रूप से इसका समर्थन करता है। RFC 5280 सेक्शन नाम की कमी की सीमा को परिभाषित करता है जो एक मध्यवर्ती CA के निर्माण की अनुमति देता है जिसमें वे किस डोमेन के लिए प्रतिबंध लगा सकते हैं। समस्या यह है कि इसके व्यावहारिक रूप से कभी भी लागू नहीं किया गया है।
जेक
7

नहीं, क्योंकि यह मूल प्रमाणपत्र का उल्लंघन होगा - ब्राउज़र आपके प्रमाणपत्रों पर भरोसा करेंगे और आप google.com आदि के लिए सामान जारी करना शुरू कर सकते हैं - और यदि आप उस स्मार्ट को करते हैं, तो आपको प्राप्त करना आसान नहीं होगा।

इंटरमीडिएट सर्टिफिकेट अथॉरिटीज में बहुत शक्ति होती है। एक मध्यवर्ती CA एक प्रमाण पत्र पर हस्ताक्षर करने वाला प्राधिकारी है - जिसे रूट प्रमाणपत्र के माध्यम से भरोसा किया जाता है - और विनिर्देश में कुछ भी अधीनस्थ सीए को सीमित करने की अनुमति नहीं देता है।

जैसे, कोई प्रतिष्ठित प्रमाणपत्र संगठन आपको एक देने जा रहा है।

टॉम टॉम
स्रोत
3
ज़रूर लेकिन मैं इस धारणा के तहत था कि आप मध्यवर्ती प्रमाणपत्र गुंजाइश (जैसे एक डोमेन के लिए) को सीमित कर सकते हैं। एक अन्य उत्तर का अर्थ लगता है कि ऐसा नहीं है।
एलेक्स बी
1
ऐसा नहीं है। एक मध्यवर्ती CA एक प्रमाण पत्र पर हस्ताक्षर करने वाला प्राधिकारी है - जिसे रूट प्रमाणपत्र के माध्यम से भरोसा किया जाता है - और विनिर्देश में कुछ भी अधीनस्थ सीए को सीमित करने की अनुमति नहीं देता है।
टॉमटॉम
@TomTom: अच्छी व्याख्या। मैंने आपकी टिप्पणी को अपने उत्तर में संपादित करने की स्वतंत्रता ली।
'12
@alexb मुझे विश्वास है कि यह कल्पना का एक मामला है जो इसे अनुमति देता है लेकिन आप इसका समर्थन करने के लिए ग्राहक कार्यान्वयन पर भरोसा नहीं कर सकते। दुर्भाग्य से मुझे एक संदर्भ नहीं मिल रहा है लेकिन मैं काफी आश्वस्त हूं।
फिल लेलो
5

यह जियोट्रस्ट से वैध सीए खरीदने के लिए संभव है।

मैं अंग्रेज़ी पृष्ठों पर उत्पाद नहीं ढूंढ पा रहा था, लेकिन यहाँ एक संग्रहीत संस्करण है:

http://archive.is/q01DZ

GeoRoot खरीदने के लिए आपको निम्नलिखित न्यूनतम आवश्यकताओं को पूरा करना होगा:

  • $ 5M या अधिक का शुद्ध मूल्य
  • एरर और ओमेशन इंश्योरेंस में न्यूनतम $ 5M
  • निगमन के लेख (या समान) और प्रदत्त प्रमाण पत्र
  • एक लिखित और सर्टिफिकेट प्रैक्टिस स्टेटमेंट (CPS)
  • एक कुंजी 140-2 स्तर 2 आज्ञाकारी डिवाइस (जियोट्रस्ट ने अपने मूल प्रमाणपत्र कुंजियों को बनाने और संग्रहीत करने के लिए SafeNet, Inc.) के साथ भागीदारी की है।
  • बाल्टीमोर / Betrusted, Entrust, Microsoft, नेटस्केप या RSA से एक अनुमोदित CA उत्पाद

उत्पाद अभी भी उनके जर्मन पेज पर उपलब्ध है:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

moander
स्रोत
4

(यह एक पुराने प्रश्न का नया उत्तर है क्योंकि मेरा मानना ​​है कि यह समझने में मदद करता है कि प्रमाणपत्र और सीए के पीछे कोई "जादू" नहीं है)

@Steffen Ullrich द्वारा दिए गए स्वीकृत उत्तर के विस्तार के रूप में

वेबसाइटों की पहचान करने के लिए संपूर्ण प्रमाण पत्र सिर्फ एक बड़ा धन व्यापार है। R505280 द्वारा X509 प्रमाणपत्र (दूसरों के बीच) परिभाषित किए गए हैं और कोई भी व्यक्ति सीए या इंटरमीडिएट सीए हो सकता है, यह सब उस इकाई के बारे में आपके द्वारा किए गए भरोसे पर निर्भर करता है।

उदाहरण: यदि आप एक सक्रिय निर्देशिका डोमेन में हैं, तो आपका प्राथमिक डोमेन नियंत्रक डिफ़ॉल्ट रूप से एक विश्वसनीय रूट प्रमाणन प्राधिकरण है। इस बीच, पूरी तरह से कोई अन्य तृतीय-पक्ष शामिल नहीं है।

व्यापक इंटरनेट पर, यह मुद्दा "आप किस पर भरोसा कर सकते हैं" की पहचान करना है क्योंकि यह सिर्फ एक कंपनी की तुलना में बहुत बड़ा है। और इसलिए, ब्राउज़र विक्रेता रूट सीए की एक मनमानी सूची प्रदान करते हैं कि यह आपकी सहमति के बिना संकेत के बिना भरोसा करेगा।

Ie: यदि आपका मोज़िला फाउंडेशन के साथ बहुत अच्छा संबंध है, तो अपने स्वयं के मनमाने ढंग से स्व-हस्ताक्षरित रूट CA को उनके फ़ायरफ़ॉक्स ब्राउज़र की अगली रिलीज़ पर उस सूची में जोड़ा जा सकता है ... सिर्फ इसलिए कि उन्होंने यह फैसला किया है!

इसके अलावा, कोई भी आरएफसी नहीं है जो प्रमाणपत्रों के संबंध में ब्राउज़रों के व्यवहार और नियमों को परिभाषित करता है। यह एक निहित सहमति है कि क्योंकि प्रमाणपत्र का "सीएन" डोमेन नाम के बराबर है, जो कि मिलान करने वाला है।

क्योंकि यह किसी बिंदु पर पर्याप्त नहीं था, ब्राउज़र विक्रेताओं ने सभी अनुमान लगाया कि फॉर्म का एक वाइल्डकार्ड प्रमाणित प्रमाणपत्र *.domain.comकिसी भी अन्य व्यवसाय से मेल खाएगा। लेकिन यह केवल एक स्तर से मेल खाता है: नहीं, ऐसा sub.sub.domain.comक्यों है? क्योंकि उन्होंने सिर्फ इतना तय किया।

अब आपके मूल प्रश्न के बारे में, क्या इस बात को रोकता है कि आपके प्राथमिक डोमेन प्रमाणपत्र को आपके स्वयं के उप-डोमेन के लिए उप-प्रमाणपत्र बनाने की अनुमति दी जाए, जो कि ब्राउज़र के लिए जाँच करने के लिए एक आसान प्रक्रिया है, बस प्रमाणपत्र श्रृंखला प्राप्त करना है।

जवाब है: कुछ नहीं

(इसके अलावा तकनीकी रूप से आपके पास ऐसा करने के लिए अपने स्वयं के डोमेन प्रमाणपत्र में "ध्वज" होना चाहिए)

ब्रदर्स विक्रेताओं, अगर उन्हें यह सुविधाजनक लगता है, तो वे इसका समर्थन करने का निर्णय ले सकते हैं।

हालांकि, अपने पहले बयान पर वापस, यह बड़ा पैसा कारोबार है। इसलिए जो कुछ रूट सीए ब्राउज़र विक्रेताओं के साथ समझौते करते हैं, वे उस सूची में दिखाई देने के लिए बड़ी मात्रा में पैसा खर्च कर रहे हैं। और आज, उन्हें वह पैसा वापस मिल जाता है क्योंकि आपको प्रत्येक व्यक्तिगत उपडोमेन प्रमाण पत्र के लिए भुगतान करना पड़ता है या एक वाइल्डकार्ड मिलता है जो बहुत अधिक महंगा होता है। यदि वे आपको अपना उप-प्रमाण पत्र बनाने की अनुमति देते हैं, तो इससे उनके लाभ में भारी कटौती होगी। इसलिए यह आज की तरह है, आप ऐसा नहीं कर सकते।

खैर, आप अभी भी कर सकते हैं, क्योंकि यह कड़ाई से मान्य x509 प्रमाण पत्र होगा, लेकिन कोई भी ब्राउज़र इसे नहीं पहचानता।

साइमन
स्रोत
अपने विज्ञापन उदाहरण के साथ मामूली नाइटपिक। सक्रिय निर्देशिका अपने आप में पीकेआई अवसंरचना का वास्तव में उपयोग या उपयोग नहीं करती है। आपको अलग से स्पिन करना होगा और श्रृंखला पर भरोसा करने के लिए वैकल्पिक रूप से डोमेन को कॉन्फ़िगर करना होगा और फिर डोमेन नियंत्रकों के लिए सीरेट्स उत्पन्न करना होगा। नहीं तो अच्छा जवाब।
रयान बोलगर
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.