我非常习惯于创build用于x509身份validation的PKI,无论任何原因,SSL客户端validation都是这样做的主要原因。 我刚刚开始涉足OpenVPN(我认为这和Apache对证书颁发机构(CA)证书所做的一样)
我们有很多子域名,以及目前都有自己的自签名证书的申请。 我们已经厌倦了在Chrome中接受例外情况,我们认为对于我们的地址栏呈现红色的客户来说,这看起来相当粗糙。
为此,我很乐意购买一个SSL通配符CN=*.example.com
。 那没问题。
我似乎无法find的是:
不可以 – 通配符证书上的约束条件不允许以任何方式,forms或forms将CA用作CA,以将信任授予控制中的其他证书(或权限)。 检查x509 Basic Constraints字段; 它可能包含CA:FALSE
。
因为这是一件好事。 SSL证书的经济性是值得怀疑的; 提供者的唯一成本是人员和基础设施开销以及潜在的工作人员时间来确认请求证书的一方的身份。
他们将尽一切可能增加他们已经相当虚构的费用,同时增加对客户的价值 – 通配证书提供了一个很大的机会来提高利润率,尽pipe这些证书通常比基本证书。
我们是否可以将我们的内部CA根签名为通配符证书的子项?
通配符证书只能在最终实体证书中显示,如果一切按预期或预期工作。 而且他们只会出现在“底层”的最终实体证书中,比如域validation; 而不是“更高级”的扩展validation证书。
如果一切按预期或预期工作,最终实体证书将缺lesskeyCertSign
keyUsage
(和cRLSign
),因此它将无法充当CA根目录并锚定信任链。 您将无法使用最终实体证书来签署任何内容。
下面介绍了不同级别或不同级别的证书之间的区别,但是您应该阅读Peter Guttman的Engineering Security的两章。 具体见第1章和第8章(IIRC)。
CA可以签署其他的CA(这里有一些手放弃,没有石头,请)。 这就是所谓的口令,它用来连接不同的PKI。 例如,美国联邦使用桥梁来允许财政部门使用国务院的证书(等等)。
在典型的浏览器模式下,桥接与使用情况略有不同。 在浏览器模式中,不使用交叉签名证书; 相当于100个根证书和中间证书是预先安装的,并被信任为相同的效果(和更多!)。
最后,“EV证书不能有通配符”的规则来自CA-Browser(CA / B)论坛。 CA / B有两个参与CA和浏览器的指南,规则来自扩展的指导原则。
从扩展指南看,第15页:
9.2.2 Subject Alternative Name Extension Certificate field: subjectAltName:dNSName Required/Optional: Required Contents: This extenstion MUST contain one or more host Domain Name(s) owned or controlled by the Subject and to be associated with the Subject's server. Such server MAY be owned and operated by the Subject or another entity (eg, a hosting service). Wildcard certificates are not allowed for EV Certificates.
以便将该证书安装到来宾设备/浏览器/任何不提供任何关于不受信任的根目录
不。用户将不得不将其安装为信任锚。 例如,作为证书存储中的“受信任的证书”。 简单地将其作为最终实体证书提供应该没有任何作用。
另外,有一点,为什么添加一个通配符证书购买成本的两倍?
为了保持利润水平。
扩展validation证书是用于在竞争到底之前将利润水平恢复到时间的另一个技巧,破坏了信心和利润。 从Peter Guttman的“ 工程安全”(第63-64页) (Guttman称之为“PKI我更难”):
引入所谓的高保证或扩展validation(EV)证书,允许CA向其收取比标准费用更多的费用,这简直就是将普通犯罪嫌疑人人数增加两倍的情况 – 估计有人会它给人留下深刻的印象,但对networking钓鱼的影响是微乎其微的,因为它没有解决钓鱼者正在利用的任何问题。 事实上,愤世嫉俗者会说,这正是证书和CA应该首先解决的问题,“高保证”证书只是现有服务的第二次收费方式。 几年前,证书仍然要花费数百美元,但是现在证书价格和质量的变动基线已经转移到可以以9.95美元(甚至没有任何东西)的价格获得它们,大型商业CA必须重新创build自己定义一个新的标准,并说服市场回到过去的美好时代。
通过研究Verisign的证书实践声明(CPS)即certificate发行的文件,可以看出这种似曾相识的办法。 EV证书2008 CPS中的安全要求(除了用于expression它们的法律规定的细微差别外)实际上与从1996年Verisign版本1.0 CPS中列出的3类证书的要求相同。EV证书简单地将时钟回滚到1996年第一次尝试的做法已经失败了,重新设定了基线的变动,并把1996年的价格作为一个副作用。 甚至有人提出了一种证书价值的滑动窗口方法,其中由于不可避免的竞争会削弱已build立的证书类别的有效价值,所以使用它们的软件被认为越来越less…