카테고리 보관물: Server

Server

중간 SSL 인증서 받기 위해 중간

하위 도메인 인증서에 서명하기 위해 중간 인증서를 구매할 수 있습니까? 브라우저에서 인식해야하며 와일드 카드 인증서를 사용할 수 없습니다.

검색은 지금까지 아무것도 나타나지 않았습니다. 그런 인증서를 발행 한 사람이 있습니까?



답변

문제는 현재 사용되는 인프라 및 구현이 일부 (하위) 도메인으로 제한되는 중간 인증서를 지원하지 않는다는 것입니다. 이는 사실상 중간 인증서를 사용하여 원하는 인증서에 서명 할 수 있으며, 소유하지 않은 도메인에 대한 인증서 일지라도 브라우저가이를 신뢰한다는 것을 의미합니다.

따라서 이러한 중간 인증서는 이것이 의미하는 바에 상관없이 실제로 신뢰할 수있는 조직에게만 제공됩니다 (그러나 많은 돈이 필요할 수 있습니다).


답변

아니요, 원래 인증서를 위반 한 것이므로 브라우저는 인증서를 신뢰하고 google.com 등을 위해 물건을 발행 할 수 있습니다.-그렇게 똑똑하면 쉽게 얻을 수 없습니다.

중개 인증 기관은 많은 힘을 가지고 있습니다. 중간 CA는 인증서 서명 기관 (루트 인증서를 통해 신뢰 됨)이며 사양에서 하위 CA를 제한 할 수있는 것은 없습니다.

따라서 평판이 좋은 인증 기관은 귀하에게 인증서를 제공하지 않습니다.


답변

GeoTrust에서 유효한 CA를 구매할 수있었습니다.

영어 페이지에서 제품을 찾을 수 없지만 다음은 보관 된 버전입니다.

http://archive.is/q01DZ

GeoRoot를 구매하려면 다음 최소 요구 사항을 충족해야합니다.

  • 5 백만 달러 이상의 자산
  • 오류 및 누락 보험에서 최소 $ 5M
  • 정관 (또는 이와 유사한 것) 및 현직 증명서
  • 작성되고 유지 관리되는 CPS (Certificate Practice Statement)
  • 루트 인증서 키 생성 및 저장을위한 FIPS 140-2 레벨 2 호환 장치 (GeoTrust는 SafeNet, Inc.와 파트너십을 맺었습니다)
  • Baltimore / Betrusted, Entrust, Microsoft, Netscape 또는 RSA의 승인 된 CA 제품

이 제품은 독일어 페이지에서 계속 사용할 수 있습니다.

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/


답변

(이것은 인증서와 CA 뒤에 “마법”이 없다는 것을 이해하는 데 도움이되기 때문에 이전 질문에 대한 새로운 답변입니다)

@Steffen Ullrich가 제공 한 승인 된 답변의 확장으로

웹 사이트를 식별하기위한 전체 인증서는 큰 돈을 버는 사업입니다. X509 인증서는 RFC5280에 의해 정의 되며 다른 사용자는 루트 CA 또는 중간 CA 일 수 있으며, 모두 해당 엔티티에 대한 신뢰에 따라 다릅니다.

예 : Active Directory 도메인에있는 경우 기본 도메인 컨트롤러는 기본적으로 신뢰할 수있는 루트 인증 기관입니다. 한편, 다른 제 3자는 절대 관여하지 않습니다.

광범위한 인터넷에서 문제는 “회사를 신뢰할 수있는 사람”이 하나의 회사보다 훨씬 크기 때문에 식별하는 것입니다. 따라서 브라우저 공급 업체는 사용자 동의없이 다른 신뢰할 수있는 루트 CA의 사용자 지정 임의 목록을 제공합니다.

즉, Mozilla 재단과 아주 좋은 관계를 유지하고 있다면 Firefox 브라우저의 다음 릴리스에서 자체적으로 자체 서명 한 루트 CA를 해당 목록에 추가 할 수 있습니다.

또한 인증서와 관련하여 브라우저의 동작 방식에 대한 동작 및 규칙을 정의하는 RFC가 없습니다. 이는 인증서의 “CN”이 도메인 이름과 같기 때문에 일치해야한다는 암시 적 합의입니다.

이것으로 어느 정도 충분하지 않았기 때문에 브라우저 공급 업체는 모두 해당 형식의 와일드 카드 인증서가 *.domain.com모든 하위 도메인과 일치하도록 암시 적으로 노화되었습니다 . 그러나 그것은 단지 한 수준과 일치 sub.sub.domain.com합니다. 그들은 단지 그렇게 결정했기 때문입니다.

원래 질문에 대해 기본 도메인 인증서가 자신의 하위 도메인에 대한 하위 인증서를 만들 수 없도록하는 것은 브라우저가 인증서 체인을 가져 오기만하면 쉽게 확인할 수있는 프로세스입니다.

대답은 : 아무것도

(기술적으로 자신의 도메인 인증서에 “플래그”가 있어야합니다.)

이 방법이 충분히 편리하다면, 판매업자는이를 지원하기로 결정할 수 있습니다.

그러나 첫 번째 진술로 돌아가서 이것은 큰 돈 사업입니다. 따라서 브라우저 공급 업체와 계약을 맺은 소수의 루트 CA는 그 목록에 많은 돈을 소비하고 있습니다. 그리고 오늘날 각 개별 하위 도메인 인증서에 대해 비용을 지불하거나 훨씬 비싼 와일드 카드를 가져와야하므로 돈을 돌려받습니다. 그들이 당신이 당신의 자신의 서브 도메인 인증서를 만들 수 있도록 허용한다면, 이것은 그들의 이익을 엄청나게 줄입니다. 그래서 이것이 오늘날의 이유입니다.

글쎄, 당신은 여전히 ​​유효한 x509 인증서이기 때문에 여전히 할 수 있지만 어떤 브라우저도 그것을 인식하지 못합니다.


답변