¿Cómo se puede emitir un certificado de intranet de confianza si se están eliminando gradualmente?

5

Acabo de ver este artículo sobre eliminación gradual de nombres de intranet en certificados SSL .

Sin embargo, las CA como como esta afirman que aún las emiten y serán "Confiables por todos los navegadores populares ", aunque estén listados como miembros en el documento de directrices .

También hay un documento de orientación disponible con respecto a los nombres de servidores internos.

Mi pregunta es, ¿cómo siguen gestionando la emisión de certificados SSL para nombres internos si esto va en contra de las CA / Browser Forum ?

Mi única suposición es que depende de la región, por ejemplo, no es posible en los EE. UU., pero es posible con un CA del Reino Unido. Si es así, ¿podría una empresa / persona residente en los Estados Unidos simplemente utilizar un sitio del Reino Unido para comprar su certificado?

    
pregunta SilverlightFox 19.01.2014 - 14:25
fuente

1 respuesta

2
  

El CA / Browser Forum es una organización voluntaria de Autoridades de certificación y proveedores de navegador de Internet   y otras aplicaciones de software de usuario de confianza.

Así se dice en la segunda página del documento "directrices". La palabra importante es "voluntario". Estas "pautas" no son la ley. Este es solo un documento editado por un grupo de corporaciones que consideraron que valía la pena, en algún momento, editar dicho documento, por razones no especificadas.

Estas pautas pueden ser la base de algún acuerdo contractual entre corporaciones; p.ej. Microsoft podría declarar que la CA comercial que desea ver su clave pública de CA incluida en forma predeterminada en el "almacén de confianza" de Windows debe cumplir con las pautas del foro de CA / Navegador. Sin embargo, el incumplimiento de las directrices no incurrirá en represalias legales más allá de las réplicas civiles sobre dichos contratos. Este es un negocio completamente privado; La Ley y los gobiernos de todo el mundo no tienen relación alguna con estas directrices y su aplicación.

Como nota al margen, se sabe que, aunque Microsoft intenta mantener algunas reglas de comportamiento estrictas para la CA que establecen como "de confianza por defecto", deben hacer excepciones para algunos "CA gubernamentales" porque negarse a incluir la clave de CA de mascotas de algunos gobiernos puede implicar la pérdida de acceso a los grandes mercados locales. Independientemente de lo que puedan reclamar en las reuniones del foro de CA / navegador, los grandes jugadores como Microsoft ya deben lidiar con las "excepciones".

Sin embargo, la pregunta interesante es lo que Comodo dice a sus miembros del foro CA / Browser, ya que PositiveSSL es propiedad de Comodo. Se supone que la prohibición de "nombres de intranet" será efectiva el 1 de noviembre de 2015 (no más certificados emitidos más allá de esa fecha) y se aplicará el 1 de octubre de 2016 (certificados aún válidos con "nombres de intranet" son revocados). Mi conjetura es que Comodo intentará ganar dinero el mayor tiempo posible, y puede intentar negociar un mayor retraso en la eliminación.

    
respondido por el Thomas Pornin 19.01.2014 - 15:35
fuente

Lea otras preguntas en las etiquetas