Bisakah saya menjadi CA tepercaya saya sendiri melalui sertifikat perantara yang ditandatangani?

23

Bisakah saya mendapatkan sertifikat dari CA root yang kemudian dapat saya gunakan untuk menandatangani sertifikat server web saya sendiri? Saya akan, jika mungkin, menggunakan sertifikat yang ditandatangani sebagai perantara untuk menandatangani sertifikat lainnya.

Saya tahu bahwa saya harus mengkonfigurasi sistem saya dengan cara tertentu dengan sertifikat perantara "saya" untuk memberikan informasi tentang rantai kepercayaan kepada klien saya.

Apakah ini mungkin? Apakah root CA bersedia menandatangani sertifikat seperti ini? Apakah itu mahal?

LATAR BELAKANG

Saya akrab dengan dasar-dasar SSL karena berkaitan dengan mengamankan lalu lintas web melalui HTTP. Saya juga memiliki pemahaman dasar tentang cara kerja rantai kepercayaan, di mana lalu lintas web diamankan "secara default" jika Anda mengenkripsi dengan sertifikat yang memiliki rantai yang valid sepanjang jalan kembali ke root CA, sebagaimana ditentukan oleh browser. / Vendor OS.

Saya juga menyadari bahwa banyak CA root telah mulai menandatangani sertifikat untuk pengguna akhir (seperti saya) dengan sertifikat perantara. Itu mungkin memerlukan sedikit lebih banyak pengaturan di pihak saya, tetapi jika tidak, sertifikat itu akan berfungsi dengan baik. Saya kira ini ada hubungannya dengan melindungi kunci pribadi mereka yang sangat berharga untuk CA dan bencana yang akan terjadi jika saya pernah dikompromikan.

CONTOH

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Sekarang, kami jelas bukan ukuran organisasi mana pun, tetapi mereka tampaknya melakukan sesuatu seperti ini. Itu pasti akan membuat pengelolaan sertifikat ini jauh lebih enak, terutama mengingat salah satu cara kami memperluas jangkauan platform e-commerce kami.

ssl certificate x509 Clint Miller
sumber

Jawaban:

9

Pertanyaan Anda berbunyi bagi saya dan orang lain sebagai "Bagaimana cara saya mengeluarkan sertifikat untuk entitas di dalam dan di luar organisasi saya yang dipercaya oleh pengguna internet yang sewenang-wenang?"

Jika itu adalah pertanyaan Anda, maka jawabannya adalah "Anda tidak." Jika tidak, mohon klarifikasi.

Saya juga merekomendasikan membaca "Windows Server 2008 PKI dan Keamanan Sertifikat oleh Brian Komar" dan mempertimbangkan semua skenario berbagai PKI untuk aplikasi Anda. Anda tidak perlu menggunakan Microsoft CA untuk mendapatkan sesuatu dari buku ini.

duffbeer703
sumber
Saya menghargai masukannya, tetapi saya pikir contoh yang saya sebutkan menyatakan bagian "Anda tidak" sebagai pernyataan yang salah. Lihatlah rantai kepercayaan untuk sertifikat tersebut dan Anda akan melihat bahwa ada sertifikat khusus perusahaan antara root CA (didistribusikan dengan browser / OS) dan sertifikat yang digunakan server web untuk mengenkripsi lalu lintas HTTPS.
Clint Miller
13
Bukan hanya sertifikat. Sun / Microsoft / Dell mengoperasikan CA perantara. Mengoperasikan suatu perusahaan, CA yang dihadapi publik adalah tugas yang mahal dan rumit yang memerlukan audit eksternal berkala. Buku Komar menjelaskan sejumlah skenario CA dan menggambarkan mengapa begitu rumit. Jika desain aplikasi Anda mengarahkan Anda menuju CA, Anda harus berpikir panjang dan keras tentang tujuan desain dan strategi implementasi Anda.
duffbeer703
8

Pencarian cepat menunjukkan bahwa hal-hal seperti itu ada, tetapi dengan 'hubungi kami untuk penawaran' menunjukkan itu tidak akan murah:

https://www.globalsign.com/en/certificate-authority-root-signing/

Saya tidak membuat klaim tentang perusahaan, tetapi halaman itu mungkin memberi Anda syarat untuk digunakan untuk menemukan perusahaan lain melakukan hal yang sama.

Joe H.
sumber
3

Jika Anda bisa melakukan ini, apa yang akan mencegah Joe Malware mengeluarkan sertifikat untuk www.microsoft.com dan memberi Anda merek pembaruan "khusus" sendiri melalui pembajakan DNS?

FWIW, berikut cara mendapatkan sertifikat root Anda yang disertakan oleh Microsoft di OS:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Persyaratannya cukup curam.

Tim Howland
sumber
Nah, 2 hal, saya kira. 1. Sudah jelas bahwa tidak ada root CA yang akan memungkinkan saya untuk menandatangani sertifikat untuk entitas lain yang bukan bagian dari organisasi saya. Mereka mungkin tidak dapat mencegah saya melakukannya sekali, tetapi tidak akan lama sampai sertifikat yang mereka tandatangani untuk saya masuk daftar pencabutan dan semuanya akan berakhir. 2. Lebih penting lagi, teknik skala "global" apa yang ada untuk pembajakan DNS? Masalah keracunan cache yang membuat Kaminsky terkenal telah ditambal oleh vendor DNS, kan?
Clint Miller
Jika semua sertifikat yang Anda bicarakan dimiliki oleh organisasi Anda, apakah sertifikat tersebut berada di domain tingkat atas yang sama? Jika demikian, sertifikat wildcard SSL (* .mydomain.com) mungkin merupakan strategi yang lebih baik.
Tim Howland
Sayangnya saya memiliki lebih banyak domain untuk diamankan, sehingga wildcard (yang merupakan strategi awal) tidak akan berfungsi bagi kami karena kami telah memperluas bisnis kami ke kasus-kasus di mana domain yang berbeda diinginkan. Solusi saya untuk saat ini adalah sertifikat SAN (nama alternatif subjek), tetapi agak menyakitkan untuk membuat sertifikat baru untuk setiap penambahan / penghapusan domain lain.
Clint Miller
2

Ini pada dasarnya tidak dapat dibedakan dari menjadi reseller untuk root CA, yang hampir pasti membutuhkan banyak usaha dan uang. Ini karena, seperti dicatat Tim, Anda dapat membuat sertifikat yang valid untuk domain apa pun, yang seharusnya tidak diizinkan kecuali Anda mengontrol domain itu.

Alternatifnya adalah program pengecer RapidSSL di mana mereka melakukan semua kerja keras dan mengeluarkan dari root CA.

TRS-80
sumber
2
Saya tidak bisa tidak setuju lagi! Saya tidak ingin menjual sertifikat kepada orang lain. Saya ingin membuat manajemen pengamanan komunikasi dalam bisnis kami dan antara bisnis kami dan klien lebih mudah. Tim mengajukan pertanyaan yang sah, tetapi saya pikir Anda tidak mengerti intinya.
Clint Miller
3
Saya melihatnya dari sudut pandang CA - bagi mereka, apa yang Anda minta adalah menjadi CA sepenuhnya dalam hak Anda sendiri, yang cukup berisiko bagi mereka - hanya karena Anda mengatakan Anda tidak ingin untuk membuat sertifikat untuk orang lain tidak berarti Anda tidak akan memiliki kemampuan teknis untuk itu, maka mereka akan menginginkan kontrol yang serius untuk memastikan Anda tidak.
TRS-80
2

Tanyakan kepada diri Anda dua pertanyaan ini:

  1. Apakah Anda memercayai pengguna untuk mengimpor sertifikat root dengan benar ke browser web mereka?
  2. Apakah Anda memiliki sumber daya untuk bermitra dengan CA akar yang ada?

Jika jawabannya ya ke 1, CAcert telah menyelesaikan masalah Anda untuk Anda. Jika jawaban ke 2 adalah ya, lihat daftar sertifikat root tepercaya yang dikirimkan bersama OpenSSL, Firefox, IE dan Safari dan temukan satu untuk menandatangani sertifikat perantara Anda.

lee
sumber
2

Saya pikir apa yang lebih baik Anda lakukan adalah mendapatkan sertifikat wildcard dari CA, dengan cara itu Anda dapat menggunakan sertifikat yang sama pada sembarang subdomain dari domain utama Anda, tetapi Anda tidak dapat menerbitkan sertifikat untuk hal lain.

Richard Gadsden
sumber
1

Dimungkinkan untuk CA akar untuk mengeluarkan sertifikat yang memungkinkan untuk menerbitkan sertifikat lain, tetapi hanya di bawah domain tertentu. Mereka perlu mengatur basicConstraints / CA: true dan nameConstraints / diizinkan; DNS.0 = example.com

Maka Anda bebas untuk menjalankan CA Anda sendiri dan mengeluarkan sertifikat seperti test.example.com (tetapi bukan test.foobar.com ) yang pada gilirannya akan dipercaya oleh web publik. Saya tidak tahu root CA yang menyediakan layanan ini, tetapi itu memang mungkin. Jika ada yang menemukan penyedia seperti itu, beri tahu saya.

Jonas Bjork
sumber
0

Selain tautan dari Joe H, berikut adalah tautan yang benar-benar berfungsi:

https://www.globalsign.com/en/certificate-authority-root-signing/

Penandatanganan Root CA tidak murah, tetapi hal-hal itu ada untuk perusahaan besar.

Gerald Schittenhelm
sumber
Silakan pertimbangkan memperluas jawaban Anda dari tautan yang disediakan. Tautan hanya jawaban yang turun undiannya.
Konrad Gajewski
0

Saya tahu ini adalah posting lama, tapi saya mencari sesuatu yang hampir identik dengan ini. Melarikan diri dari beberapa posting lain ... itu mungkin ... semua itu cukup mahal dan sulit dibangun. Artikel ini sedikit membantu dalam "siapa yang melakukannya" dan umum "apa yang terlibat" ....

https://aboutssl.org/types-of-root-signing-certificates/

Adapun beberapa tambahan yang saya ambil dari beberapa sumber yang tersebar ... beberapa persyaratan memiliki "ekuitas substansial" dan "asuransi" ... yang saya temukan terdaftar di mana saja dari $ 1 juta hingga $ 5 juta tergantung pada sumbernya. Jadi, tentu saja, ini bukan pilihan untuk bisnis kecil.

Selain itu, saya telah melihat posting yang menyatakan bahwa biasanya akan memakan waktu hampir satu tahun untuk memenuhi semua persyaratan dan untuk melewati semua lingkaran audit. Selain itu, biaya tambahan yang terlibat dengan seluruh proses dapat berkisar dari $ 100 ribu hingga + $ 1 juta tergantung pada kontraktor umum + biaya legal + tenaga kerja serta berapa banyak audit yang Anda lalui. Jadi, sekali lagi, bukan usaha untuk bisnis kecil.

Craig
sumber