Ste*_*ich 18
问题是,当前使用的基础设施和实现不支持仅限于某些(子)域的中间证书。这实际上意味着您可以使用任何中间证书来签署您想要的任何证书,并且浏览器会信任它,即使这将是您不拥有的域的证书。
因此,这种中间证书只提供给真正值得信赖的组织,无论这意味着什么(但可能涉及大量资金)。
不,因为这会违反原始证书 - 浏览器会信任您的证书,您可以开始为 google.com 等发布内容 - 如果您这样做很聪明,您将不容易获得。
中级证书颁发机构有很多权力。中间 CA 是证书签名机构 - 通过根证书信任 - 规范中没有任何内容允许限制从属 CA。
因此,没有信誉良好的证书组织会给您一个。
小智 5
可以/可以从 GeoTrust 购买有效的 CA。
我无法在英文页面上找到该产品,但这里有一个存档版本:
要购买 GeoRoot,您必须满足以下最低要求:
- 净资产 500 万美元或以上
- 至少 500 万美元的错误和遗漏保险
- 提供公司章程(或类似)和在职证明
- 书面和维护的证书实践声明 (CPS)
- 符合 FIPS 140-2 2 级标准的设备(GeoTrust 已与 SafeNet, Inc. 合作),用于生成和存储根证书密钥的密钥
- 由 Baltimore/Betrusted、Entrust、Microsoft、Netscape 或 RSA 批准的 CA 产品
该产品仍然可以在他们的德语页面上找到:
http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/
小智 5
(这是一个旧问题的新答案,因为我相信这有助于理解证书和 CA 背后没有“魔法”)
作为@Steffen Ullrich 给出的已批准答案的扩展
识别网站的整个证书只是一项大笔生意。X509 证书由RFC5280定义(除其他外),任何人都可以是根 CA 或中间 CA,这完全取决于您对该实体的信任。
例如:如果您在 Active Directory 域中,则默认情况下您的主域控制器是受信任的根证书颁发机构。同时,绝对没有其他第三方参与。
在广泛的互联网上,问题是确定“您可以信任谁”,因为它不仅仅是一家公司。因此,浏览器供应商会提供自定义的任意根 CA 列表,无需提示您同意即可信任该列表。
即:如果你与 Mozilla 基金会有很好的关系,那么你自己的任意自签名根 CA 可以在他们的 Firefox 浏览器的下一个版本中添加到该列表中......就因为他们决定了!
此外,没有 RFC 定义浏览器在证书方面的行为和规则。这是一个隐含的共识,因为证书的“CN”等于域名,所以它应该是匹配的。
因为这在某些时候是不够的,浏览器供应商都隐含地认为表单的通配符证书*.domain.com将匹配任何子域。但它只匹配一个级别:不,sub.sub.domain.com这是为什么?因为他们就是这样决定的。
现在关于您的原始问题,什么会阻止您的主域证书被允许为您自己的子域创建子证书,这是浏览器检查的一个简单过程,只需获取证书链即可。
答案是:没什么
(除了技术上你应该在你自己的域证书中有一个“标志”来做到这一点)
浏览器供应商,如果他们觉得这足够方便,可能会决定支持它。
然而,回到我的第一句话,这是一笔大生意。因此,那些与浏览器供应商达成协议的少数根 CA 花费大量资金出现在该列表中。而今天,他们收回了这笔钱,因为您必须为每个单独的子域证书付费,或者获得一个更昂贵的通配符。如果他们允许您创建自己的子域证书,这将极大地削减他们的利润。所以这就是为什么截至今天,你不能这样做。
好吧,你仍然可以,因为它严格来说是有效的 x509 证书,但不是任何浏览器都能识别它。
| 归档时间: |
|
| 查看次数: |
16017 次 |
| 最近记录: |