Validación del certificado SSL: ¿Mi sitio necesita ser accesible?

5

Estoy intentando comprar un Certificado SSL estándar (no EV) para una aplicación interna (Oracle Hyperion) que hemos puesto a disposición a través de la WAN de nuestra organización. La aplicación no es accesible desde internet.

La compañía a la que estamos intentando comprar este certificado nos ha dicho que no pueden emitir el certificado sin poder acceder a la aplicación (sitio web) y "revisarla".

Tengo curiosidad por saber si esta es una práctica estándar con certificados SSL? No he encontrado este tipo de problema en el pasado y sé que he ordenado certificados para sitios web que no son de Internet antes.

    
pregunta Zane 14.12.2016 - 22:08
fuente

2 respuestas

14

Agregando a lo que dijo @JulianKnight, desafortunadamente, los proveedores de SSL automatizados a granel y baratos están realmente diseñados para manejar servidores web públicos. Como parte de su procedimiento de emisión, a menudo requieren que usted demuestre que controla el sitio colocando un archivo en una URL específica, o alguna otra cosa que puedan validar de manera automática. Esto es en gran parte para la conveniencia de la CA.

Es un caso de uso perfectamente válido tener certificados de emisión de CA de confianza pública para servidores privados internos únicamente (incluidos los usos TLS que no sean HTTP). No hay nada de malo en eso, pero es posible que deba pagar un poco más por el certificado porque los certificados de $ 0 a $ 5 no están realmente diseñados para manejar esto. En particular, deberá encontrar una CA que le permita demostrar la propiedad del dominio mediante algún otro mecanismo.

    
respondido por el Mike Ounsworth 14.12.2016 - 22:39
fuente
4

Desafortunadamente, no es tan raro. Obtienes algunas solicitudes extrañas de algunos proveedores de certificados.

La verdad es que solo deben requerir la confirmación de que realmente eres el propietario del host. Algunos de los mejores procesos para eso son lograr que agregue un registro TXT a las entradas de DNS de su dominio host. Algunos proveedores también hacen un seguimiento con una llamada telefónica, aunque en mi experiencia, eso realmente no proporciona ninguna seguridad adicional.

Algunos proveedores solo requieren una respuesta de su cuenta de correo electrónico de administrador de correo o administrador de correo designado.

    
respondido por el Julian Knight 14.12.2016 - 22:31
fuente

Lea otras preguntas en las etiquetas