Bisakah saya membuat sertifikat SSL Validasi Diperpanjang saya sendiri?

34

Saya dapat membuat dengan CA sendiri dan menghasilkan sertifikat SSL yang ditandatangani sendiri dengan cara ini. Tetapi apa yang diperlukan untuk membuat browser menunjukkan sertifikat sebagai "Sertifikat SSL Validasi Diperpanjang"?

Bisakah saya membuat sendiri dan mengajarkan browser saya untuk menampilkannya sebagai EV?

Niels Basjes
sumber
Anda mungkin melihat ini: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Jawaban:

35

Cara kerja sertifikat SSL SSL adalah menempelkan OID khusus otoritas di bidang ekstensi kebijakan sertifikat cert (yang merupakan sertifikat standar X.509 sebaliknya).

Seperti yang dikatakan EK, OID referensi untuk setiap otoritas dikirimkan sebagai bagian dari simpanan sertifikat browser. Antarmuka pengguna jangan biarkan Anda menambahkan CA baru dan mengatakan "ini adalah CA yang mampu EV dan UID abcdef".

Saya kira itu mungkin untuk membangun browser open-source dari sumber, menambahkan sertifikat CA Anda sendiri dan EV-nya ke root store, tetapi Anda belum benar-benar mencapai banyak hal dengan melakukannya. Browser tidak lagi sesuai dengan pedoman EV forum CA / Browser (yang membatasi otoritas yang mampu melakukan EV).

Wikipedia memiliki lebih banyak info tentang sertifikat EV di sini:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F
sumber
2

Tidak, kamu tidak bisa. Akar tepercaya untuk ini diperbaiki di dalam browser

JamesRyan
sumber
3
Itu hanya berarti Anda harus memodifikasi browser. Dia secara khusus bertanya apakah dia bisa "mengajar browser saya untuk menunjukkannya sebagai EV". Jika FireFox atau browser lain yang sumbernya tersedia, maka dia bisa.
David Schwartz
1
Meskipun dia benar-benar mengatakan 'bisakah saya mengajarkan browser saya', hanya Anda yang melihat sertifikat Anda sendiri sebagai EV sepenuhnya tidak ada gunanya. Jadi tujuan dari jawaban saya adalah untuk menjadi praktis daripada bertele-tele. Jika Anda ingin benar-benar pilih-pilih jawaban saya masih benar karena mengkompilasi browser baru dari sumber tidak mengajarkan browser yang ada. : P
JamesRyan
5
Saya tidak setuju bahwa itu tidak ada gunanya. Misalnya, dalam suatu organisasi akan menyenangkan untuk meletakkannya di setiap browser agar semua situs internal dikenali.
Beberapa
Mengapa Anda memerlukan sertifikat EV untuk itu? Ingat ini tidak mencakup semua sertifikat, Anda masih dapat menambahkan root tepercaya untuk sertifikat non EV.
JamesRyan
Mereka adalah dan mereka tidak. Anda selalu dapat mengimpor dan menghapus sertifikat dari toko otoritas sertifikat akar tepercaya Anda. Sebagai administrator domain untuk organisasi saya, saya dapat mendorong sertifikat root ke pengguna yang dikelola melalui kebijakan sehingga browser mereka mempercayai sertifikat yang saya hasilkan untuk server internal saya. Saya juga ingin tahu cara menandatangani sertifikat internal saya sehingga pengguna saya melihat validasi tingkat "EV" di sertifikat mereka. Berharap seseorang bisa memberi tahu saya apa yang perlu dilakukan untuk melakukan itu.
Erik