¿Por qué no hay una CA de dominio?

9

Se me pidió que entregara un certificado SSL firmado para un servidor IIS para un cliente. Anteriormente he hecho esto para el mismo cliente / dominio antes, por lo que parece que un gasto innecesario para mantener múltiples certificados para diferentes subdominios.

Godaddy cobra alrededor de $ 250 por un solo certificado SSL con 5 años de duración.

Luego comencé a considerar un certificado comodín, pero esto parece un poco inseguro, ya que el resultado de un solo compromiso tendría un resultado peor.

Eso me hace preguntarme, ¿por qué no hay nada llamado Domain CA?

¿Una CA de dominio puede ser firmada por una CA raíz y tiene la posibilidad de generar certificados de Subdominio?

Me parece lógico, pero esto no existe, y me pregunto por qué. ¿Alguien aquí con una visión más clara comprende por qué no existe tal cosa?

    
pregunta Dog eat cat world 02.11.2011 - 23:06
fuente

2 respuestas

12

En el X.509 estándar (estoy enlazando a RFC 5280 que es nominalmente un X.509 perfil pero contiene una copia funcional del propio X.509; el verdadero estándar X.509 no es gratis), existe una "CA de dominio". Específicamente, este es un certificado de CA que contiene una extensión de Restricciones de Nombre de tipo "dNSName". Consulte la sección 4.2.1.10, que contiene este párrafo:

  

Las restricciones de nombre de DNS se expresan como host.example.com. Cualquier DNS      nombre que se puede construir simplemente agregando cero o más etiquetas a      el lado izquierdo del nombre satisface la restricción de nombre. por      ejemplo, www.host.example.com satisfaría la restricción pero      host1.example.com no lo haría.

que es exactamente lo que estás buscando.

Ahora el truco consiste en obtener una CA raíz reconocida existente (es decir, una CA que pueda emitir certificados que el navegador web de Average Joe aceptará sin ninguna advertencia de miedo) para venderle dicho certificado. Recuerde que el modelo de negocio de una CA comercial que le cobra 250 $ por servidor es poder seguir cobrándole 250 $ por servidor; dado que su objetivo es precisamente evitar darles tanto dinero, supongo que pueden objetar, por ejemplo, no firmando su certificado de CA.

Además, el soporte de Restricciones de nombre por los navegadores web implementados existentes puede ser un poco inestable. Esta no es la característica X.509 más utilizada nunca.

    
respondido por el Thomas Pornin 03.11.2011 - 00:55
fuente
1

Como alguien aquí mencionado, esto tiene mucho que ver con el "modelo de negocio", pero considere otro ángulo. Cuando una CA raíz emite un certificado (intermedio o de otro tipo), aparentemente están enganchados para mantener una CRL para todos los certificados bajo su CA raíz. Mientras que un certificado comodín le permite usar un certificado para servidores infinito , una CA de dominio le permitiría crear certificados infinitos bajo su propia CA intermedia. Una CA raíz probablemente lo consideraría insostenible dado su modelo de negocio y el hecho de que no les pagará infinitas unidades de moneda.

    
respondido por el user44700 15.05.2014 - 17:37
fuente

Lea otras preguntas en las etiquetas