Autoridad de certificación para certificados inusuales / complejos [cerrado]

1

Espero que mi pregunta no esté totalmente fuera de tema, así que trato de preguntar.

Uso varios certificados con nombres de sujeto / alt bastante inusuales. Se utilizan para servicios como IMAP, envío SMTP, acceso a FTP y otros servicios. Todos los servicios son públicos, pero son accesibles solo para usuarios autenticados. Cada cliente tiene su nombre de host único para cada servicio y ese nombre de host debe formar parte de un certificado. Así que hay un certificado en cada servicio (uno para IMAP, uno para FTP, etc.) y ese certificado es válido para cada nombre de host (que son únicos para cada usuario).

Los nombres de host son únicos para la capacidad de migrar servicios de clientes individuales entre nodos de servidor sin la necesidad de interactuar con el usuario.

Esta configuración podría lograrse mediante el uso de comodines simples (como * .imap.example.com), pero en el pasado, cuando comenzamos con este enfoque de usuario / nombre de host / certificado, usábamos certificados StartSSL. Permiten un número casi ilimitado de altnames en sus certificados, incluidos los comodines, por lo que decidimos usar algo como *.*.example.com hostnames. La razón principal fue evitar el llenado excesivo de nuestras zonas DNS con decenas de miles de registros, por lo que anidamos los nombres de host un nivel más profundo:

12345.45.imap.example.com - user #12345
12346.46.imap.example.com - user #12346

Y los nombres alt del certificado se parecen a esto:

*.01.imap.example.com, .., *.45.imap.example.com, ...

Durante mucho tiempo utilizamos este método sin ningún problema, hasta que el año pasado WSSLL compró StartSSL y nuestros certificados no serán de confianza en algún momento de este año.

Ya he investigado un poco si hay alguna otra CA que permita certificados similares pero hasta ahora sin suerte. Por supuesto, muchos de ellos estarían encantados de firmarlos por nosotros, pero a un precio realmente alto (además, en comparación con los certificados gratuitos de StartSSL que hemos utilizado hasta ahora).

¿Hay alguna manera de resolver nuestro caso sin gastar una fortuna para tales certificados? Forzar a nuestros usuarios a cambiar sus nombres de host en clientes de correo y no es una opción.

Sería genial si, por ejemplo, Let's Encrypt soportaría comodines. ¿O hay alguna otra CA "no comercial" que estaría dispuesta a firmar tales certificados?

    
pregunta dave 16.03.2017 - 22:18
fuente

0 respuestas

Lea otras preguntas en las etiquetas