Instalando una CA solo para dominios específicos

8

Por muchas razones, a menudo es conveniente que las organizaciones tengan su propia CA (autofirmada o de otro tipo).

Tal como lo entiendo, agregar el certificado de CA a un sistema operativo o navegador hará que confíe en los servidores de la organización, pero también abrirá las puertas para que la organización (o cualquier atacante acceda a la clave de CA) para suplantar a cualquier servidor en internet . Este es un problema, especialmente si la organización tiene una política BYOD.

¿Hay alguna forma de agregar una CA a los sistemas operativos y navegadores populares (Windows, Mac, Linux, Android, Chrome, Firefox, ...) de modo que solo sea de confianza certificar algunos dominios ? Si no hay, ¿es esto debido a una limitación técnica en el sistema PKI, o simplemente porque "nadie lo necesitaba implementado todavía"?

    
pregunta goncalopp 09.01.2015 - 12:18
fuente

1 respuesta

3

Es posible tener una CA específica para un dominio con X.509, utilizando Restricciones de nombre . Sin embargo, no está bien soportado, ya que muchas implementaciones ignorarán las restricciones. Si funcionó bien, la CA comercial podría vender certificados subCA específicos del dominio a los propietarios del dominio (eso sería una solución técnicamente mucho mejor que los certificados comodín).

En muchos casos donde hay una "CA organizativa", los usuarios son empleados de la organización, para quienes la CA es una emanación de las esferas superiores de la organización, es decir (teórica y formalmente) la Voz de Dios. En estos casos, la limitación a un solo dominio no proporcionaría una mejora significativa de la seguridad, lo que explica la falta de demanda sostenida para tal característica (y, por lo tanto, la falta de soporte de los navegadores existentes).

    
respondido por el Thomas Pornin 09.01.2015 - 13:28
fuente

Lea otras preguntas en las etiquetas