Instalando una CA solo para dominios específicos

Question

Instalando una CA solo para dominios específicos

#1 de Thomas Pornin (3 votos)

8

Por muchas razones, a menudo es conveniente que las organizaciones tengan su propia CA (autofirmada o de otro tipo).

Tal como lo entiendo, agregar el certificado de CA a un sistema operativo o navegador hará que confíe en los servidores de la organización, pero también abrirá las puertas para que la organización (o cualquier atacante acceda a la clave de CA) para suplantar a cualquier servidor en internet . Este es un problema, especialmente si la organización tiene una política BYOD.

¿Hay alguna forma de agregar una CA a los sistemas operativos y navegadores populares (Windows, Mac, Linux, Android, Chrome, Firefox, ...) de modo que solo sea de confianza certificar algunos dominios ? Si no hay, ¿es esto debido a una limitación técnica en el sistema PKI, o simplemente porque "nadie lo necesitaba implementado todavía"?

public-key-infrastructure certificates certificate-authority

pregunta goncalopp 09.01.2015 - 12:18

fuente

1 respuesta

Lea otras preguntas en las etiquetas public-key-infrastructure certificates certificate-authority

¿PHP unserialize () se puede explotar sin ningún método 'interesante'? ¿No es aconsejable utilizar Redis para almacenar PII, claves privadas y otros secretos?

score 3 · Answer 1

Es posible tener una CA específica para un dominio con X.509, utilizando Restricciones de nombre . Sin embargo, no está bien soportado, ya que muchas implementaciones ignorarán las restricciones. Si funcionó bien, la CA comercial podría vender certificados subCA específicos del dominio a los propietarios del dominio (eso sería una solución técnicamente mucho mejor que los certificados comodín).

En muchos casos donde hay una "CA organizativa", los usuarios son empleados de la organización, para quienes la CA es una emanación de las esferas superiores de la organización, es decir (teórica y formalmente) la Voz de Dios. En estos casos, la limitación a un solo dominio no proporcionaría una mejora significativa de la seguridad, lo que explica la falta de demanda sostenida para tal característica (y, por lo tanto, la falta de soporte de los navegadores existentes).