Kann ich mein eigenes Extended Validation SSL-Zertifikat erstellen?

34

Ich kann auf diese Weise eine eigene Zertifizierungsstelle erstellen und ein selbstsigniertes SSL-Zertifikat erstellen. Aber was braucht es, damit der Browser das Zertifikat als "Extended Validation SSL-Zertifikat" anzeigt?

Kann ich selbst einen erstellen und meinem Browser beibringen, ihn als EV anzuzeigen?

Niels Basjes
quelle
Sie könnten einen Blick darauf werfen
Nick

Antworten:

35

Die Funktionsweise von EV-SSL-Zertifikaten besteht darin, eine autoritätsspezifische OID in das Feld für die Erweiterung der Zertifikatrichtlinien des Zertifikats einzugeben (ansonsten handelt es sich um ein Standard-X.509-Zertifikat).

Wie EK bereits sagte, werden die Referenz-OIDs für jede Behörde als Teil des Stammspeichers für Zertifikate des Browsers ausgeliefert. In den Benutzeroberflächen können Sie keine neue Zertifizierungsstelle hinzufügen und "Dies ist eine EV-fähige Zertifizierungsstelle und die UID ist abcdef".

Ich nehme an, es ist möglich, einen Open-Source-Browser aus dem Quellcode zu erstellen, indem Sie das Zertifikat Ihrer eigenen Zertifizierungsstelle zusammen mit dem EV-Oid zum Stammspeicher hinzufügen. Dabei haben Sie jedoch nicht wirklich viel erreicht. Der Browser entspricht nicht mehr den EV-Richtlinien von CA / Browser Forum (die die EV-fähigen Behörden einschränken).

Wikipedia bietet hier weitere Informationen zu EV-Zertifikaten:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F
quelle
2

Nein, kannst du nicht. Die vertrauenswürdigen Roots für diese sind im Browser festgelegt

JamesRyan
quelle
3
Das bedeutet nur, dass Sie den Browser ändern müssen. Er fragte speziell, ob er "meinem Browser beibringen könnte, es als EV zu zeigen". Wenn es sich um Firefox oder einen anderen Browser handelt, dessen Quelle verfügbar ist, kann er dies.
David Schwartz
1
Während er tatsächlich sagte: "Kann ich meinen Browser unterrichten?", Ist es völlig sinnlos, nur Ihr eigenes Zertifikat als EV zu sehen. Das Ziel meiner Antwort war es also, eher praktisch als pedantisch zu sein. Wenn Sie wirklich wählerisch werden möchten, ist meine Antwort immer noch richtig, da das Kompilieren eines völlig neuen Browsers aus dem Quellcode Ihren vorhandenen Browser nicht lehrt. : P
JamesRyan
5
Ich stimme nicht zu, dass es sinnlos ist. In einer Organisation wäre es zum Beispiel schön, wenn alle internen Websites in jedem Browser erkannt würden.
Einige
Warum brauchen Sie dafür ein EV-Zertifikat? Denken Sie daran, dass dies nicht alle Zertifikate abdeckt. Sie können dennoch einen vertrauenswürdigen Stamm für Nicht-EV-Zertifikate hinzufügen.
James Ryan
Sie sind und sie sind nicht. Sie können Zertifikate jederzeit aus Ihrem vertrauenswürdigen Stammzertifizierungsstellenspeicher importieren und entfernen. Als Domänenadministrator für meine Organisation kann ich Stammzertifikate über Richtlinien an meine verwalteten Benutzer senden, damit deren Browser Zertifikaten vertrauen, die ich für meine internen Server generiere. Ich auch möchte wissen , wie meine interne Zertifikate signieren , so dass meine Nutzer in ihre Zertifikate „EV“ Level - Validierung zu sehen. Ich wünschte, jemand könnte mir sagen, was getan werden muss, um das zu tun.
Erik