¿Es posible usar un certificado SSL comercial para emitir certificados de usuario final?

1

Mi organización se está preparando para comprar unas 50 "unidades" de Symantec, con las que podemos comprar certificados SSL de Verisign con distintos niveles de autenticación. Nuestra organización no tiene, pero definitivamente desea, la capacidad de enviar correos electrónicos firmados digitalmente a socios comerciales y clientes externos, y utilizar el mismo certificado para cifrar el correo electrónico entre otros miembros de la organización.

Mi pregunta es la siguiente: supongamos que compramos un certificado SSL de Verisign: este certificado sería un intermediario de la CA raíz. Pero nuestra organización podría usar esto para un servidor de correo PKI global (por ejemplo, SecureMail.OurCompany.com) con el fin de emitir certificados de usuario final (hoja).

¿Es esto posible (incluso tiene sentido)? ¿Podríamos usar el certificado emitido por Verisign para luego emitir certificados de usuario final (hoja) para incorporarlos al sistema de correo electrónico de la empresa (MS Exchange)? ¿Cómo se haría esto? ¿Qué software se usaría para emitir certificados de usuario final de esta manera?

    
pregunta Daniel 11.08.2014 - 20:05
fuente

2 respuestas

2

No emite certificados con un certificado SSL; emite certificados con un certificado intermedio CA . Esa es una bestia diferente; es decir, al contrario de lo que se conoce coloquialmente como "un certificado SSL", a un certificado de CA intermedio se le otorga poder de CA en virtud de incluir un Extensión de restricciones básicas con el indicador cA establecido en TRUE . La presencia de esa bandera es verificada por el software que valida los certificados. Técnicamente, podría firmar certificados con sus claves privadas SSL, pero nadie aceptaría estos certificados como válidos.

Verisign o cualquier otra CA comercial le venderá un certificado de CA intermedio solo bajo algunas condiciones bastante estrictas: le costará mucho dinero y tendrá que demostrar que se le puede confiar el poder de emitir certificados. De hecho, una vez que tenga ese certificado de CA intermedio, técnicamente no hay nada que le impida falsificar certificados para google.com o microsoft.com que serían aceptados de forma silenciosa por todos los navegadores web de todo el mundo. Por lo tanto, Verisign querrá asegurarse de que tenga procedimientos para evitar tales travesuras; en particular, fuerte seguridad física para el almacenamiento de claves privadas, control dual para todas las operaciones administrativas, seguros, estrictos procedimientos de revocación, etc.

Si bien tiene la lógica correcta (de hecho, es solo una cuestión de tener algún "software de emisión de certificados", que puede ser tan simple como algunos scripts de OpenSSL), subestima los costos. Si desea operar su propia CA (de eso está hablando), entonces tendrá que hacerlo "correctamente", es decir, con medios que sean proporcionales al nivel requerido de seguridad y garantía de calidad. Tendrá que contratar a un especialista en PKI. El costo superará con creces el de comprar 50 certificados de entidades finales cada año.

    
respondido por el Tom Leek 11.08.2014 - 20:36
fuente
0

Sí, esto sería posible si cualquier CA le vendiera una CA intermedia. Pero no, ellos (con suerte) no lo harán.

El problema es que la PKI de SSL actual no admite restricciones para CA intermedias. Esto significa que, una vez que posea dicha CA intermedia, podrá emitir los certificados que desee. Estos serían certificados para su propia infraestructura, pero también certificados para google.com o incluso podría crear otra CA intermedia debajo de su propia CA, que tiene los mismos derechos.

Debido a estos problemas, las CA no le venden oficialmente esas CA intermedias.

    
respondido por el Steffen Ullrich 11.08.2014 - 20:28
fuente

Lea otras preguntas en las etiquetas