Me gustaría preguntar sobre los procedimientos para que una CA determinada obtenga una de sus CA raíz (CA de emisión de SSL) para que la acepten e instalen como una CA raíz de confianza en los sistemas operativos y navegadores.
Los diferentes navegadores y sistemas operativos tienen diferentes procedimientos. Por ejemplo, Chrome toma el almacén de confianza del sistema operativo (con la excepción de los certificados EV) como se ve en Política de CA raíz del cromo.
Firefox, por otro lado, mantiene todas sus CAs y no utiliza la tienda de sistemas. También tienen una Política de inclusión publicada. Y, por supuesto, el sistema operativo, como Programa de certificado de raíz de manzanas .
En general, todos ellos requieren que la CA esté certificada por una autoridad reconocida como WebTrust o algo equivalente. Para obtener la certificación, la CA debe probar algunas cosas, como la forma en que determina el propietario de un dominio, la forma en que mantiene segura la clave privada de la CA raíz, los procesos y muchas otras cosas. Hay un PDF en línea de WebTrust con todos los requisitos . Algunos ejemplos:
La Autoridad de Certificación:
- revela su negocio, la gestión del ciclo de vida clave, la gestión del ciclo de vida del certificado y CA Prácticas de Control Ambiental en su Declaración de Prácticas de Certificación; y
- revela su negocio, la gestión del ciclo de vida clave, la gestión del ciclo de vida del certificado y CA Políticas de Control Ambiental en su Política de Certificación (si corresponde). La Autoridad de Certificación mantiene controles efectivos para proporcionar una seguridad razonable de que:
- La Declaración de Prácticas de Certificación de CA es coherente con su Política de Certificación (si corresponde); y
- La CA proporciona sus servicios de acuerdo con su Política de Certificación (si corresponde) y Certificación Declaración de práctica
y
Integridad del servicio
La Autoridad de Certificación mantiene controles efectivos para proporcionar una seguridad razonable de que:
- La integridad de las claves y los certificados que administra se establece y protege a lo largo de su vida. ciclos;
- La información del suscriptor se autentica correctamente (para las actividades de registro realizadas por ABC-CA); y
- Las solicitudes de certificados de CA subordinadas son precisas, autenticadas y aprobadas
Entonces, por supuesto, la CA debe proporcionar algún valor al sistema operativo o al proveedor del navegador. Las CA privadas no se agregarán a la tienda de CA raíz de ningún navegador o sistema operativo. Una lista del Programa de Certificados de Raíz de Manzanas:
- ¿Cuál es el propósito comercial de los certificados emitidos desde este certificado raíz? ¿Qué negocio está habilitando esta raíz?
- ¿A quién emitirá los certificados? Por ejemplo, el público en general, los miembros de una determinada organización, y así sucesivamente.
- ¿Qué usos de clave extendida admite la raíz? Por ejemplo, la autoridad del servidor SSL, el correo electrónico seguro, la firma de código, etc.
- ¿Qué se hace para validar la identidad de alguien que solicita un certificado emitido desde esta raíz?
- Declaración de práctica de punteros a certificado
- Lista de auditorías de terceros a las que se ha sometido tu práctica de CA. URL de un servidor de acceso público donde se pueden verificar los certificados emitidos desde sus raíces
Como puede ver, no es tan fácil acceder a las tiendas raíz, y los proveedores reevaluarán periódicamente cada una de las CA en su tienda. También tienen el derecho de expulsar a cualquier CA que considere que no es lo suficientemente segura, como ha ocurrido con DigiNotar .
Lea otras preguntas en las etiquetas certificates certificate-authority