Emiterea de certificate de SSL pentru subdomenii ale unui domeniu pentru care am cerut un certificat SSL

Cred că nu se poate face, dar dacă da, aș vrea să știu de ce.

Să presupunem că primesc un certificat SSL pentru example.com de la una din autoritățile oficiale de certificare din jur. Să spunem, de asemenea, că rulez a.example.com și b.c.dd.example.com și doresc să aibă certificate SSL și pentru aceleași persoane.

Pot utiliza certificatul example.com pentru a emite eu însumi certificate pentru a.example.com și b.c.d.example.com? Și vor fi recunoscute de browserele utilizatorilor? Dacă nu, de ce nu?

(Cred că nu se poate face, pentru că ar sparge modelul de afaceri cu certitudine foarte feroce, nu-i așa?)

Clarification: can't I act as a "self-signed" certificate authority using the keypair for which I obtained the official cert, and simply add my official cert in the validation chain?

0

2 răspunsuri

Ai dreptate, nu poți emite certificate dintr-un certificat . Aveți nevoie de o Autoritate de certificare pentru a emite certificate.

Întregul punct al unei Autorități de Certificare este că este o parte terță de încredere. CA ca Verisign sunt de încredere în mod prestabilit de majoritatea browserelor, astfel încât să nu trebuie să acceptați manual certificate de la ei. Ei au ceea ce se numește certificat rădăcină de încredere .

Dacă creați autoritatea dvs. de certificare și începeți să dezinstalați certificatele, browserele web nu vă vor cunoaște și nu vor avea încredere în dvs. Utilizatorul va fi solicitat.

0
adăugat
De fapt, puteți folosi fiecare certificat pentru a emite un alt certificat (de exemplu, prin hacking openssl). Este de datoria aplicației să verifice dacă sa produs o astfel de abuz, adică trebuie să verifice dacă certificatele au fost emise numai de CA.
adăugat autor Black, sursa

Nu puteți utiliza certificatul dvs. pentru a emite alte certificate, deoarece scopurile certificatul este codificat în certificatul dvs. și "Autoritatea de certificare" nu este, cu siguranță, inclusă în lista respectivă.

Browserele web verifică "lanțul de certificat" începând de la certificatul dvs., certificatul utilizat pentru semnarea acestuia, semnatarul certificatului etc.

Certificatul dvs. trebuie să se potrivească cu cazul de utilizare curent (mai ales "identificați site-ul web"), iar toate certificatele de semnare trebuie să includă steagul "Autoritatea de certificare". Ultimul certificat trebuie să fie cunoscut browserului (cert root).

După cum deja ghiciți, certificatele cu caractere ar putea fi de ajutor în cazul dvs.

0
adăugat
Deci există un pavilion în certificatul oficial pe care l-am obținut pe care CA ar putea să-l fixeze la "CA", dar nu? Este mecanismul care mă împiedică să mă alătur lanțului de certificate?
adăugat autor Johannes Ernst, sursa
Da, așa funcționează. Cu câțiva ani în urmă, sa descoperit că un anumit browser nu a verificat dacă acel steag și oricine cu un certificat valid ar fi putut să-l folosească pentru a crea certe pentru un domeniu orice . Bineînțeles, acest lucru este stabilit acum.
adăugat autor Black, sursa