Abrufen eines SSL-Zwischenzertifikats

Ist es möglich, ein Zwischenzertifikat zu kaufen, um Subdomain-Zertifikate zu signieren? Es muss von Browsern erkannt werden und ich kann kein Platzhalterzertifikat verwenden.

Die Suche hat bisher nichts ergeben. Gibt jemand solche Zertifikate aus?

Das Problem ist, dass die derzeit verwendete Infrastruktur und Implementierung keine Zwischenzertifikate unterstützt, die nur auf einige (Unter-) Domänen beschränkt sind. Dies bedeutet, dass Sie jedes Zwischenzertifikat verwenden können, um jedes gewünschte Zertifikat zu signieren. Die Browser vertrauen diesem Zertifikat, auch wenn dies Zertifikate für Domänen sind, die Sie nicht besitzen.

Daher werden solche Zwischenzertifikate nur an wirklich vertrauenswürdige Organisationen vergeben, was auch immer dies bedeutet (aber es geht wahrscheinlich um viel Geld).

Nein, da dies einen Verstoß gegen das Originalzertifikat darstellen würde - Browser würden Ihren Zertifikaten vertrauen und Sie könnten anfangen, Dinge für google.com usw. herauszugeben - und wenn Sie dies klug tun, wären Sie nicht leicht zu bekommen.

Zwischenzertifizierungsstellen haben viel Macht. Eine Zwischenzertifizierungsstelle ist eine Zertifizierungsstelle, die über das Stammzertifikat als vertrauenswürdig eingestuft wird, und nichts in der Spezifikation erlaubt die Einschränkung der untergeordneten Zertifizierungsstelle.

Als solches wird Ihnen keine seriöse Zertifikatsorganisation eine geben.

Es ist / war möglich, eine gültige Zertifizierungsstelle von GeoTrust zu kaufen.

Ich konnte das Produkt auf den englischen Seiten nicht finden, aber hier ist eine archivierte Version:

http://archive.is/q01DZ

Um GeoRoot zu kaufen, müssen Sie die folgenden Mindestanforderungen erfüllen:

• Nettowert von 5 Mio. USD oder mehr
• Mindestens 5 Millionen US-Dollar in der Fehlerversicherung
• Satzung (oder ähnliches) und eine Incumbency-Bescheinigung werden mitgeliefert
• Eine schriftliche und gepflegte Certificate Practice Statement (CPS)
• Ein FIPS 140-2 Level 2-kompatibles Gerät (GeoTrust hat eine Partnerschaft mit SafeNet, Inc. geschlossen) zur Schlüsselgenerierung und Speicherung Ihrer Stammzertifikatsschlüssel
• Ein zugelassenes CA-Produkt von Baltimore / Betrusted, Entrust, Microsoft, Netscape oder RSA

Das Produkt ist noch auf ihrer deutschen Seite verfügbar:

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

(Dies ist eine neue Antwort auf eine alte Frage, da dies meines Erachtens dazu beiträgt, zu verstehen, dass Zertifikate und Zertifizierungsstellen keine "Magie" enthalten.)

Als Erweiterung der genehmigten Antwort von @Steffen Ullrich

Das gesamte Zertifikat, um Websites zu identifizieren, ist nur ein großes Geschäft. Die X509-Zertifikate werden (unter anderem) von definiert RFC5280 definiert, und jeder kann eine Stammzertifizierungsstelle oder eine Zwischenzertifizierungsstelle sein. Dies hängt vom Vertrauen ab, das Sie in Bezug auf diese Entität haben.

Beispiel: Wenn Sie sich in einer Active Directory-Domäne befinden, ist Ihr primärer Domänencontroller standardmäßig eine vertrauenswürdige Stammzertifizierungsstelle. In der Zwischenzeit sind absolut keine weiteren Dritten involviert.

Im breiten Internet geht es darum, zu identifizieren, wem Sie vertrauen können, da es viel größer ist als nur ein Unternehmen. Aus diesem Grund stellen die Browser-Anbieter eine benutzerdefinierte, willkürliche Liste der Stammzertifizierungsstellen bereit, denen sie vertrauen, ohne Sie um Ihre Zustimmung zu bitten.

Dh: Wenn Sie eine sehr gute Beziehung zur Mozilla-Stiftung haben, könnte Ihre eigene selbstsignierte Stammzertifizierungsstelle bei der nächsten Veröffentlichung ihres Firefox-Browsers zu dieser Liste hinzugefügt werden ... Nur weil sie es entschieden haben!

Darüber hinaus gibt es keinen RFC, der das Verhalten und die Regeln für das Verhalten von Browsern in Bezug auf Zertifikate definiert. Dies ist ein impliziter Konsens, dass der "CN" des Zertifikats mit dem Domain-Namen übereinstimmt, da dieser übereinstimmt.

Da dies zu einem bestimmten Zeitpunkt nicht ausreichte, galten alle Browser-Anbieter implizit dafür, dass ein Platzhalterzertifikat des Formulars *.domain.commit jeder Unterdomäne übereinstimmen würde. Aber es passt nur zu einer Ebene: Nein, sub.sub.domain.comwarum ist das so? Weil sie sich einfach so entschieden haben.

Nun zu Ihrer ursprünglichen Frage: Was würde verhindern, dass Ihr primäres Domänenzertifikat Unterzertifikate für Ihre eigenen Subdomänen erstellt? Dies ist ein einfacher Vorgang, den der Browser überprüfen kann, indem er nur die Zertifikatskette abruft.

Die Antwort lautet: nichts

(mit der Ausnahme, dass Sie technisch gesehen ein "Flag" in Ihrem eigenen Domain-Zertifikat haben sollten, um dies zu tun)

Die broswers Verkäufer, wenn sie dies bequem genug finden, können beschließen, es zu unterstützen.

Zurück zu meiner ersten Aussage, dies ist jedoch ein großes Geldgeschäft. Daher geben diese wenigen Stammzertifizierungsstellen, die Vereinbarungen mit den Browserverkäufern haben, viel Geld aus, um in dieser Liste angezeigt zu werden. Und heute bekommen sie das Geld zurück, weil Sie für jedes einzelne Subdomain-Zertifikat bezahlen müssen oder eine Wildcard bekommen, die viel teurer ist. Wenn Sie Ihre eigenen Subdomain-Zertifikate erstellen könnten, würde dies den Gewinn erheblich verringern. Aus diesem Grund können Sie es ab heute nicht mehr tun.

Nun, das können Sie immer noch, denn es wären strikt gültige x509-Zertifikate, aber kein Browser würde es erkennen.