¿Por qué un certificado HTTPS de servidor web no puede firmar sus certificados HTTPS de subdominio?

Navega tus respuestas
3

¿Por qué tener un certificado válido para "exampe.com" No puedo hacer un certificado "secundario" para "subdominio.ejemplo.com"?

¿Qué inseguridades surgirán si los navegadores comienzan a permitir que los certificados de dominio sean CA válidos para subdominios?

    
pregunta Vi. 03.04.2013 - 21:15
fuente

1 respuesta

11

La validación de X.509 es nominalmente separada de los nombres de dominio. X.509 se diseñó en el contexto de The Directory , una bestia mítica que puede ser pensado como un directorio LDAP grande y mundial que hace referencia a todos los servidores en la Tierra y en cualquier otro lugar. (Históricamente, fue al revés: LDAP es Lightweight Directory Access Protocol , una versión reducida del protocolo que estaba destinado a acceder al Directorio).

En el Directorio, las entidades se designan por su Nombre distinguido , una estructura similar a un árbol que no tiene relación con los nombres de dominio (aunque algunas personas han forzado una en la otra con componentes de DN "DC") ).

En la X.509 verdadera, permitir que un propietario de certificado, vinculado a un nombre de dominio, actúe como una sub-CA para sus propios subdominios es teóricamente posible , pero requiere el uso de Name Constraints extension, que es standard , pero casi no está soportado universalmente. La idea sería emitir un certificado que contenga el nombre example.com , marcado como CA (extensión Basic Constraints con cA establecido en TRUE ), y extensión Name Constraints con un "subárbol permitido" de valor .example.com (esto debería restringir los certificados posteriores a los nombres de host deportivos, y estos nombres solo pueden estar en subdominios de example.com ). Es una buena idea, pero falla debido a la falta de soporte de los navegadores. Por lo tanto, el efecto neto, si una CA emite tal certificado habilitado para un dominio, será uno de los siguientes:

  • El navegador del cliente rechaza el certificado.
  • El navegador del cliente acepta el certificado, pero también lo habría aceptado incluso si no fuera un subdominio adecuado.

Los proveedores de navegadores no están interesados en implementar esta función porque sería bastante inútil hasta que la CA comercial la use, y la CA comercial no la usará hasta que sea implementada por los navegadores. Además, las CA comerciales prefieren preferirlo si les compra varios certificados en lugar de uno solo.

Para resumir, esta es una triste historia de X.500 personas que no se llevan bien con las personas de IP / DNS, y los navegadores no implementan las funciones necesarias para que todo funcione. Es poco probable que las cosas cambien en un futuro cercano.

    
respondido por el Tom Leek 03.04.2013 - 21:45
fuente

Lea otras preguntas en las etiquetas

¿Implementación de referencia para las ECIES de Shoup? Base de datos de explotaciones abiertas, con datos estructurados (nombre del CMS, versión, etc.)