Kann ich über ein signiertes Zwischenzertifikat meine eigene vertrauenswürdige Zertifizierungsstelle sein?

23

Kann ich von einer Stammzertifizierungsstelle ein Zertifikat erhalten, mit dem ich meine eigenen Webserverzertifikate signieren kann? Ich würde, wenn möglich, ein signiertes Zertifikat als Zwischenstufe zum Signieren anderer Zertifikate verwenden.

Ich weiß, dass ich meine Systeme auf eine bestimmte Weise mit "meinem" Zwischenzertifikat konfigurieren müsste, um meinen Kunden Informationen über die Vertrauenskette bereitzustellen.

Ist das möglich? Sind Stammzertifizierungsstellen bereit, ein solches Zertifikat zu signieren? Ist es teuer?

HINTERGRUND

Ich bin mit den Grundlagen von SSL vertraut, da es sich um die Sicherung des Webverkehrs über HTTP handelt. Ich habe auch ein grundlegendes Verständnis für die Funktionsweise der Vertrauenskette, da der Webdatenverkehr "standardmäßig" gesichert ist, wenn Sie mit einem Zertifikat verschlüsseln, das eine gültige Kette bis zurück zu einer Stammzertifizierungsstelle aufweist, wie vom Browser festgelegt / OS-Anbieter.

Mir ist auch bekannt, dass viele Stammzertifizierungsstellen damit begonnen haben, Zertifikate für Endbenutzer (wie mich) mit Zwischenzertifikaten zu signieren. Das mag auf meiner Seite etwas mehr Setup erfordern, aber ansonsten funktionieren diese Zertifikate einwandfrei. Ich denke, das hat mit dem Schutz ihres wertvollen privaten Schlüssels für die Zertifizierungsstelle und der Katastrophe zu tun, die sich ergeben würde, wenn ich jemals kompromittiert würde.

Beispiele

  1. https://www.microsoft.com
  2. https://www.sun.com
  3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=de&s=dhs

Wir haben definitiv nicht die Größe einer dieser Organisationen, aber sie scheinen so etwas zu tun. Dies würde die Verwaltung dieser Zertifikate auf jeden Fall wesentlich angenehmer machen, insbesondere wenn man bedenkt, wie wir die Reichweite unserer E-Commerce-Plattform erweitern.

ssl certificate x509 Clint Miller
quelle

Antworten:

9

Ihre Frage lautet für mich und andere: "Wie stelle ich Zertifikate für Stellen innerhalb und außerhalb meiner Organisation aus, denen willkürliche Internetbenutzer vertrauen?"

Wenn das Ihre Frage ist, lautet die Antwort "Sie nicht.". Wenn nicht, bitte klären.

Ich empfehle außerdem, "Windows Server 2008 PKI und Zertifikatsicherheit von Brian Komar" zu lesen und alle verschiedenen PKI-Szenarien für Ihre Anwendungen zu berücksichtigen. Sie müssen nicht die Zertifizierungsstelle von Microsoft verwenden, um etwas aus dem Buch herauszuholen.

duffbeer703
quelle
Ich schätze die Eingabe, aber ich denke, dass die Beispiele, die ich zitierte, den Teil Ihrer Aussage "Sie tun es nicht" als falsch bezeichnen. Wenn Sie sich die Vertrauenskette für diese Zertifikate ansehen, sehen Sie, dass ein unternehmensspezifisches Zertifikat zwischen der Stammzertifizierungsstelle (mit Browser / Betriebssystem verteilt) und dem Zertifikat vorhanden ist, mit dem der Webserver den HTTPS-Verkehr verschlüsselt.
Clint Miller
13
Es ist nicht nur ein Zertifikat. Sun / Microsoft / Dell betreibt eine Zwischenzertifizierungsstelle. Der Betrieb einer öffentlichen Zertifizierungsstelle in einem Unternehmen ist eine teure, komplizierte Aufgabe, die eine regelmäßige externe Prüfung erfordert. Das Komar-Buch erklärt eine Reihe von CA-Szenarien und zeigt, warum es so komplex ist. Wenn Ihr Anwendungsdesign Sie auf dem Weg zur Zertifizierungsstelle führt, müssen Sie sich lange und gründlich Gedanken über Ihre Entwurfsziele und Ihre Implementierungsstrategie machen.
duffbeer703
8

Eine schnelle Suche zeigt, dass es solche Dinge gibt, aber mit der Option "Kontaktieren Sie uns, um ein Angebot zu erhalten" lässt sich vermuten, dass dies nicht billig ist:

https://www.globalsign.com/en/certificate-authority-root-signing/

Ich mache keine Angaben zu dem Unternehmen, aber auf dieser Seite finden Sie möglicherweise Begriffe, die Sie verwenden können, um andere Unternehmen zu finden, die dasselbe tun.

Joe H.
quelle
3

Wenn Sie dies tun könnten, was hindert Joe Malware daran, ein Zertifikat für www.microsoft.com auszustellen und Ihnen über einen DNS-Hijack seine eigene "spezielle" Marke von Updates zu geben?

FWIW, so erhalten Sie Ihr Stammzertifikat, das von Microsoft in das Betriebssystem aufgenommen wurde:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Die Anforderungen sind ziemlich hoch.

Tim Howland
quelle
Nun, zwei Dinge, nehme ich an. 1. Es ist offensichtlich, dass keine Stammzertifizierungsstelle es mir erlaubt, Zertifikate für andere Entitäten zu signieren, die nicht Teil meiner Organisation sind. Sie können mich vielleicht nicht davon abhalten, es einmal zu tun, aber es wird nicht lange dauern, bis das Zertifikat, das sie für mich unterzeichnet haben, auf den Sperrlisten steht und dann ist alles vorbei. 2. Noch wichtiger ist, welche "globalen" Skalentechniken gibt es für DNS-Hijacking? Das Problem der Cache-Vergiftung, das Kaminsky berühmt gemacht hat, wurde von den DNS-Anbietern behoben, oder?
Clint Miller
Befinden sich alle Zertifikate, über die Sie sprechen, im Besitz Ihrer Organisation, in derselben Top-Level-Domain? In diesem Fall ist ein Wildcard-SSL-Zertifikat (* .mydomain.com) möglicherweise die bessere Strategie.
Tim Howland
Leider muss ich mehr Domains sichern, sodass die Platzhalter (die ursprüngliche Strategie) für uns nicht funktioniert, da wir unser Geschäft auf Fälle ausgeweitet haben, in denen eine andere Domain gewünscht wird. Meine Lösung für den Moment sind SAN-Zertifikate (Subject Alternative Names), aber es ist etwas schmerzhaft, ein neues Zertifikat für jedes Hinzufügen / Löschen einer anderen Domain zu erstellen.
Clint Miller
2

Dies ist im Grunde genommen nicht zu unterscheiden davon, ein Reseller für diese Stammzertifizierungsstelle zu werden, was mit ziemlicher Sicherheit viel Aufwand und Geld kostet. Dies liegt daran, dass Sie, wie Tim bemerkt, für jede Domain ein gültiges Zertifikat erstellen können. Dies sollte nur zulässig sein, wenn Sie diese Domain kontrollieren.

Eine Alternative ist das Reseller-Programm von RapidSSL, in dem sie die ganze harte Arbeit erledigen und von ihrer Stammzertifizierungsstelle aus herausgeben.

TRS-80
quelle
2
Ich könnte nicht mehr widersprechen! Ich möchte keine Zertifikate an andere weiterverkaufen. Ich möchte die Verwaltung der Kommunikationssicherheit in unserem Unternehmen und zwischen unserem Unternehmen und unseren Kunden vereinfachen. Tim hat eine berechtigte Frage gestellt, aber ich denke, Sie verpassen den Punkt.
Clint Miller
3
Ich betrachte es aus der Sicht der Zertifizierungsstelle - für sie ist das, was Sie fordern, eine vollwertige Zertifizierungsstelle zu werden, was für sie ziemlich riskant ist - nur weil Sie sagen, dass Sie es nicht wollen Zertifikate für andere zu machen, bedeutet nicht, dass Sie nicht über die technischen Fähigkeiten verfügen, weshalb sie ernsthafte Kontrollen wünschen, um sicherzustellen, dass Sie dies nicht tun.
TRS-80,
2

Stellen Sie sich diese beiden Fragen:

  1. Vertrauen Sie Ihren Benutzern, dass sie Stammzertifikate ordnungsgemäß in ihren Webbrowser importieren?
  2. Haben Sie die Ressourcen, um mit einer vorhandenen Stammzertifizierungsstelle zusammenzuarbeiten?

Wenn die Antwort Ja zu 1 lautet, hat CAcert Ihr Problem für Sie gelöst. Wenn die Antwort auf 2 "Ja" lautet, durchsuchen Sie die Liste der vertrauenswürdigen Stammzertifikate, die mit OpenSSL, Firefox, IE und Safari geliefert werden, und suchen Sie eines zum Signieren Ihres Zwischenzertifikats.

Lee
quelle
2

Ich denke, Sie sollten ein Platzhalterzertifikat von der Zertifizierungsstelle erhalten. Auf diese Weise können Sie dasselbe Zertifikat für jede Unterdomäne Ihrer primären Domain verwenden, aber für nichts anderes können Sie Zertifikate ausstellen.

Richard Gadsden
quelle
1

Eine Stammzertifizierungsstelle kann ein Zertifikat ausstellen, mit dem andere Zertifikate ausgestellt werden können, jedoch nur unter einer bestimmten Domäne. Sie müssen basicConstraints / CA festlegen: true und nameConstraints / allowed; DNS.0 = example.com

Dann können Sie Ihre eigene Zertifizierungsstelle einrichten und Zertifikate wie test.example.com (aber nicht test.foobar.com ) ausstellen, denen das öffentliche Internet vertrauen wird. Ich kenne keine Stammzertifizierungsstelle, die diesen Dienst anbietet, aber es ist tatsächlich möglich. Wenn jemand auf einen solchen Anbieter stößt, lassen Sie es mich bitte wissen.

Jonas Björk
quelle
0

Zusätzlich zu dem Link von Joe H ist hier ein Link, der tatsächlich funktioniert:

https://www.globalsign.com/en/certificate-authority-root-signing/

CA Root Signing ist nicht billig, aber diese Dinge gibt es für größere Unternehmen.

Gerald Schittenhelm
quelle
Bitte erwägen Sie, Ihre Antwort über den angegebenen Link zu erweitern. Nur Antworten auf Links werden herabgestuft.
Konrad Gajewski
0

Ich weiß, dass dies ein alter Beitrag ist, aber ich habe lange und intensiv nach etwas gesucht, das fast mit diesem identisch ist. Das Echo von ein paar anderen Posts ... ist möglich ... alles ziemlich teuer und schwierig zu etablieren. Dieser Artikel ist ein bisschen hilfreich in der "wer macht das" und der allgemeinen "was geht" ....

https://aboutssl.org/types-of-root-signing-certificates/

Was einige Extras angeht, die ich aus verstreuten Quellen bezogen habe ... einige der Anforderungen sind "erhebliches Eigenkapital" und "Versicherung" ... von denen ich herausgefunden habe, dass sie irgendwo zwischen 1 Mio. USD und 5 Mio. USD liegen abhängig von der Quelle. Selbstverständlich ist dies keine Option für ein kleines Unternehmen.

Außerdem habe ich Beiträge gesehen, in denen festgestellt wurde, dass es in der Regel fast ein Jahr dauern wird, bis alle Anforderungen erfüllt sind und alle Prüfungskreise durchlaufen sind. Darüber hinaus können die Nebenkosten, die mit dem gesamten Prozess verbunden sind, zwischen 100.000 USD und 1 Mio. USD liegen, abhängig von den Kosten für Generalunternehmer, Anwaltschaft und Arbeit sowie der Anzahl der durchgeführten Prüfungskampagnen. Also wieder kein Unterfangen für ein kleines Unternehmen.

Craig
quelle