Usar un certificado verificado para firmar a otros

6

Esto se relaciona con PKI y certificados en general, pero los sitios web más específicamente.

¿Podría obtener un certificado verificado de una CA que esté firmado y con un buen uso, y luego utilizarlo para firmar sus propios certificados tal como se verificó? Por lo que yo entiendo, la cadena PKI sigue siendo válida, hay una CA, mi certificado verificado y los certificados secundarios verificados por el mío.

Esto es principalmente para un proyecto personal y un poco de teoría, pero no estoy seguro de lo que me estoy perdiendo aquí, ya que estoy seguro de que no es posible, sería un gran perdedor de dinero para los CA. Entiendo el concepto de autofirmación, y eso es probablemente lo que haré con múltiples certificados. Pero, ¿por qué no puede obtener su certificado raíz personal con el que está firmando y verificado por la CA y completar la cadena de navegadores?

    
pregunta Paystey 21.09.2012 - 22:42
fuente

2 respuestas

6

Para que un certificado sea válido como CA intermedia (es decir, como parte de una cadena de certificados, y no al final, eso es lo que se propone hacer), debe tener una extensión de Restricciones básicas con el cA marca establecida en TRUE . De lo contrario, el sistema que verifique la cadena (por ejemplo, los navegadores web, al validar el certificado de un servidor) rechazará la cadena. Consulte RFC 5280 , secciones 4.2.1.9 y 6.1.4 (artículo 'k'). La CA comercial puede venderle un certificado con el indicador cA establecido en verdadero, pero esto normalmente no será barato. Los certificados "normales" (los que pueden ser otorgados por individuos) tienen el indicador cA establecido en falso.

Tenga en cuenta que hasta el año 2003, Internet Explorer no pudo verificar el indicador cA , y su esquema habría funcionado. Este fue un gran agujero de seguridad, por supuesto, porque cualquiera podría actuar como un pseudo-CA y emitir certificados con cualquier nombre en él.

    
respondido por el Thomas Pornin 21.09.2012 - 23:21
fuente
1

Un certificado se designa como válido para un conjunto de "usos clave", que incluyen el servidor SSL, la Autoridad de Certificación, la Firma de Código, la Firma de Correo Electrónico y otros (se encuentra una buena lista here ). Solo los certificados que estén designados para actuar como una Autoridad de Certificación serán confiables para firmar otros certificados; si un enlace en la cadena de firmas carece de esa clave de uso, entonces se rompe la cadena.

Creo que puede comprar un certificado de Verisign / Thawte / etc que le permitirá firmar certificados dentro de una jerarquía de dominios limitada, por ejemplo, puede crear certificados solo en yourcompany.com pero tiene la cadena de confianza hasta la CA compró el certificado de firma de. Por supuesto, cobran mucho más por esto, por la razón obvia.

    
respondido por el gowenfawr 21.09.2012 - 23:09
fuente

Lea otras preguntas en las etiquetas