Estoy preocupado por la piratería de una CA raíz y quiero comprar 3 certificados SSL de proveedores completamente diferentes que validarán mi identidad de forma independiente. Luego, en el momento de la presentación, enviaré las 3 "certificaciones" al cliente.
¿Qué enfoques existen para satisfacer esta necesidad desde una perspectiva de protocolo o criptografía (donde las claves se unen de alguna manera)?
Context
- Un cliente web HTTP existente, una extensión de Chrome o SOCKS / Proxy que realiza una validación adicional
- Una prueba de concepto para otra implementación que aún no se ha inventado (por ejemplo, una nueva versión de TLS que incorpore un nuevo cifrado)
Las posibles soluciones que he pensado incluyen:
-
El cliente realiza 3 solicitudes HTTPS, donde cada solicitud se cifra con un certificado diferente. La respuesta debe ser un número aleatorio que sea igual en las 3 respuestas.
-
2 claves están firmadas y contienen un campo personalizado x509 que hace referencia al número de serie del certificado "validado"
-
Las claves se combinan matemáticamente de una manera interesante que reduce las solicitudes múltiples en una sola solicitud. (RSA o ECC / Subgrupos)
Pregunta
-
¿Existe tal protocolo en forma de borrador en alguna parte?
-
¿Hay alguna manera de combinar matemáticamente la validación de los certificados N sin perder la seguridad?
a. Me interesa el cifrado que me autentica 3x como host web
b. Aumenta la integridad de los datos con un flujo de datos firmado 3x
c. Aumenta la privacidad de los datos con 3 veces el cifrado
(Tenga en cuenta que sé que DANE puede satisfacer parte de este requisito, pero estoy buscando una solución que no sea DANE / HTS)