Limitar la cadena del certificado raíz

7

Estoy jugando con la idea de ejecutar una mini-CA con mi sitio web (hobby), probablemente solo se use internamente con algunos desarrolladores selectos para correos electrónicos internos, autenticación de clientes, certificados de servidor de desarrollo / puesta en escena, etc. Estoy reacio a extender este estilo de autenticación a mis usuarios con una mentalidad más técnica como esquema de autenticación opcional (a pesar de los beneficios), simplemente porque requeriría que los usuarios acepten completamente mi certificado de raíz y, por lo tanto, podría técnicamente MitM sus sesiones de paypal o algo así. En su lugar, ciertamente no confiaría en examplehobbysite.com como un tercero válido en la validación de la identidad de paypal.com (o cualquier otro servidor), pero podría estar contento confiando en la autenticación del cliente de usuarios en ese sitio (S / MIME y similares, su CN es el nombre de usuario de su sitio o algo así).

En pocas palabras, ¿existe alguna forma de que pueda crear un certificado raíz que solo pueda utilizarse para emitir certificados X.509 que se usarán para S / MIME, autenticación del cliente y similares, y < fuerte> no ¿será válido como certificado de servidor (SSL)?

    
pregunta TC Fox 01.10.2011 - 16:15
fuente

3 respuestas

4

En Firefox, puedes editar el nivel de confianza que le das a un certificado. Vaya a las Opciones avanzadas, cifrado y en la lista de CA, haga clic en cualquier certificado y luego en "Editar confianza".

Esto te da cierta flexibilidad.

    
respondido por el Julien Vehent 01.10.2011 - 16:50
fuente
3

Estoy intentando lo mismo. Estoy haciendo mucha investigación para este hobby y encontrarás un conjunto muy extenso de cosas para pensar aquí:

Lista de verificación para crear una raíz sin conexión & Autoridad de certificación intermedia (CA)

  

En pocas palabras, ¿existe alguna forma de que pueda crear un certificado raíz que solo pueda usarse para emitir certificados X.509 para S / MIME, autenticación de clientes y similares, y que no sea válido como servidor (SSL) Certificados?

Ya que desea limitarse a S / MIME y algunos otros propósitos, le recomiendo que obtenga una lista definitiva de cuáles son esos propósitos, obtenga los OID y utilice la delegación restringida y configure el Uso de claves mejorado (EKU) según corresponda.

Solo sepa que cada vez que cambie de opinión y edite o vuelva a emitir RootCA, la revocación de OCSP de CRL será mucho más complicada debido a las múltiples rutas raíz que CryptoAPI debe analizar.

    
respondido por el random65537 04.06.2012 - 00:17
fuente
0

Utilice su Root-CA como base de emisor. Pero dejemos que sus navegadores solo confíen en los intermedios.

    
respondido por el dsgfsdf 29.05.2014 - 19:17
fuente

Lea otras preguntas en las etiquetas