Mendapatkan sertifikat SSL perantara

Apakah mungkin untuk membeli sertifikat perantara untuk menggunakannya untuk menandatangani sertifikat subdomain? Itu harus dikenali oleh browser dan saya tidak bisa menggunakan sertifikat wildcard.

Pencarian tidak menemukan apa pun sejauh ini. Adakah yang menerbitkan sertifikat semacam itu?

Masalahnya adalah, bahwa infrastruktur dan implementasi yang saat ini digunakan tidak mendukung sertifikat perantara yang hanya terbatas pada beberapa (sub) domain. Ini, pada dasarnya, berarti bahwa Anda dapat menggunakan sertifikat perantara untuk menandatangani sertifikat apa pun yang Anda inginkan dan browser akan mempercayainya, bahkan jika ini akan menjadi sertifikat untuk domain yang bukan milik Anda.

Dengan demikian, sertifikat perantara semacam itu hanya diberikan kepada organisasi yang benar-benar dapat dipercaya, apa pun artinya ini (tetapi banyak uang mungkin terlibat).

Tidak, karena itu akan menjadi pelanggaran terhadap sertifikat asli - browser akan mempercayai sertifikat Anda dan Anda dapat mulai mengeluarkan barang untuk google.com dll. - dan jika Anda melakukannya dengan cerdas, Anda tidak akan mudah mendapatkannya.

Sertifikat Menengah Otoritas memiliki banyak kekuatan. CA perantara adalah otoritas penandatanganan sertifikat - yang dipercaya melalui sertifikat root - dan tidak ada dalam spesifikasi yang memungkinkan membatasi CA bawahan.

Dengan demikian, tidak ada organisasi sertifikat terkemuka yang akan memberikannya kepada Anda.

Dimungkinkan untuk membeli CA yang valid dari GeoTrust.

Saya tidak dapat menemukan produk di halaman bahasa Inggris, tetapi ini adalah versi yang diarsipkan:

http://archive.is/q01DZ

Untuk membeli GeoRoot, Anda harus memenuhi persyaratan minimum berikut:

• Kekayaan bersih $ 5 juta atau lebih
• Minimal $ 5 juta dalam asuransi Kesalahan dan Kelalaian
• Anggaran Dasar (atau yang serupa) dan sertifikat jabatan yang disediakan
• Pernyataan Praktek Sertifikat (CPS) tertulis dan dipelihara
• Perangkat yang mematuhi FIPS 140-2 Level 2 (GeoTrust telah bermitra dengan SafeNet, Inc.) untuk menghasilkan dan menyimpan kunci sertifikat root Anda
• Produk CA yang disetujui dari Baltimore / Betrusted, Entrust, Microsoft, Netscape atau RSA

Produk ini masih tersedia di halaman bahasa Jerman mereka:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

(Ini adalah jawaban baru untuk pertanyaan lama karena saya yakin ini membantu memahami bahwa tidak ada "keajaiban" di balik sertifikat dan CA)

Sebagai perpanjangan dari jawaban yang disetujui yang diberikan oleh @Steffen Ullrich

Seluruh sertifikat untuk mengidentifikasi situs web hanyalah bisnis uang besar. Sertifikat X509 didefinisikan (antara lain) oleh RFC5280 dan siapa pun dapat menjadi CA root atau CA perantara, semuanya tergantung pada kepercayaan yang Anda miliki mengenai entitas itu.

Misalnya: Jika Anda berada di domain Active Directory, maka kontroler domain utama Anda adalah otoritas sertifikasi root tepercaya secara default. Sementara itu, sama sekali tidak ada pihak ketiga lain yang terlibat.

Di Internet yang luas, masalahnya adalah mengidentifikasi "siapa yang dapat Anda percayai" karena ini jauh lebih besar dari hanya satu perusahaan. Dan oleh karena itu, vendor browser memberikan daftar CA root sewenang-wenang khusus yang akan dipercaya tanpa meminta persetujuan Anda.

Yaitu: Jika Anda memiliki hubungan yang sangat baik dengan yayasan Mozilla, maka root CA Anda yang ditandatangani sendiri secara sewenang-wenang dapat ditambahkan ke daftar itu pada rilis berikutnya dari peramban Firefox mereka ... Hanya karena mereka memutuskannya!

Selain itu, tidak ada RFC yang menentukan perilaku dan aturan tentang bagaimana browser harus berperilaku terkait sertifikat. Ini adalah konsensus tersirat bahwa karena "CN" sertifikat sama dengan nama domain, itu seharusnya cocok.

Karena ini pada titik tertentu tidak mencukupi, semua vendor browser secara implisit setuju bahwa sertifikat wildcard dari formulir *.domain.comakan cocok dengan subdomain apa pun. Tetapi hanya cocok dengan satu level: tidak sub.sub.domain.commengapa begitu? Karena mereka baru saja memutuskan demikian.

Sekarang tentang pertanyaan awal Anda, apa yang akan mencegah sertifikat domain utama Anda diizinkan membuat sub-sertifikat untuk subdomain Anda sendiri, itu adalah proses yang mudah bagi browser untuk memeriksa, hanya mendapatkan rantai sertifikat.

Jawabannya adalah: tidak ada

(kecuali bahwa secara teknis Anda harus memiliki "bendera" di sertifikat domain Anda sendiri untuk melakukannya)

Vendor broswers, jika mereka merasa cukup nyaman, dapat memutuskan untuk mendukungnya.

Namun, kembali ke pernyataan pertama saya, ini adalah bisnis uang besar. Jadi beberapa root CA yang memiliki perjanjian dengan vendor browser menghabiskan banyak uang untuk muncul dalam daftar itu. Dan hari ini, mereka mendapatkan uang itu kembali karena Anda harus membayar untuk setiap sertifikat subdomain individu atau mendapatkan wildcard yang jauh lebih mahal. Jika mereka mengizinkan Anda untuk membuat sertifikat subdomain Anda sendiri, ini akan sangat mengurangi laba mereka. Jadi inilah mengapa pada hari ini, Anda tidak dapat melakukannya.

Yah, Anda masih bisa, karena itu akan benar-benar sertifikat x509 yang valid, tetapi tidak ada browser yang akan mengenalinya.