Posso ser minha própria CA confiável por meio de um certificado intermediário assinado?

Posso obter um certificado de uma CA raiz que posso usar para assinar meus próprios certificados de servidor web? Se possível, usaria um certificado assinado como intermediário para assinar outros certificados.

Eu sei que teria que configurar meus sistemas de uma certa maneira com o "meu" certificado intermediário para fornecer informações sobre a cadeia de confiança aos meus clientes.

Isso é possível? As autoridades de certificação raiz estão dispostas a assinar um certificado como este? É caro?

FUNDO

Eu estou familiarizado com o básico do SSL no que diz respeito à segurança do tráfego da Web por HTTP. Também tenho um entendimento básico da maneira como a cadeia de confiança funciona, pois o tráfego da Web é protegido "por padrão" se você criptografar com um certificado que tenha uma cadeia válida até a CA raiz, conforme determinado pelo navegador Fornecedor de SO.

Também estou ciente de que muitas das autoridades de certificação raiz começaram a assinar certificados para usuários finais (como eu) com certificados intermediários. Isso pode exigir um pouco mais de configuração da minha parte, mas, caso contrário, esses certificados funcionarão bem. Eu acho que isso tem a ver com a proteção de sua chave privada valiosa para a CA e o desastre que seria se eu fosse comprometido.

EXEMPLOS

1. https://www.microsoft.com
2. https://www.sun.com
3. https://ecomm.dell.com/myaccount/ga/login.aspx?c=us&cs=19&l=en&s=dhs

Agora, definitivamente não somos do tamanho de nenhuma dessas organizações, mas elas parecem estar fazendo algo assim. Definitivamente, tornaria o gerenciamento desses certificados muito mais agradável, especialmente considerando uma maneira de expandir o alcance da nossa plataforma de comércio eletrônico.

Sua pergunta é para mim e para outras pessoas como "Como emito certificados para entidades dentro e fora da minha organização que são confiáveis ​​por usuários arbitrários da Internet?"

Se essa é sua pergunta, a resposta é "Você não". Caso contrário, esclareça.

Também recomendo a leitura "PKI do Windows Server 2008 e segurança de certificados por Brian Komar" e considere todos os vários cenários de PKI para seus aplicativos. Você não precisa usar a autoridade de certificação da Microsoft para tirar algo do livro.

Uma pesquisa rápida mostra que essas coisas existem, mas com o 'entre em contato conosco para uma cotação' sugere que não será barato:

https://www.globalsign.com/en/certificate-authority-root-signing/

Não faço reivindicações sobre a empresa, mas essa página pode fornecer termos para você encontrar outras empresas fazendo o mesmo.

Se você pudesse fazer isso, o que impedirá Joe Malware de emitir um certificado para www.microsoft.com e fornecer sua própria marca "especial" de atualizações por meio de um seqüestro de DNS?

FWIW, veja como obter seu certificado raiz incluído pela Microsoft no sistema operacional:

http://technet.microsoft.com/en-us/library/cc751157.aspx

Os requisitos são bastante íngremes.

Isso é basicamente indistinguível de se tornar um revendedor para essa CA raiz, que quase certamente custa muito esforço e dinheiro para ser. Isso ocorre porque, como Tim observa, você pode criar um certificado válido para qualquer domínio, o que não deve ser permitido, a menos que você controle esse domínio.

Uma alternativa é o programa de revenda do RapidSSL, no qual eles fazem todo o trabalho duro e emitem a partir de sua CA raiz.

Faça a si mesmo estas duas perguntas:

1. Você confia em seus usuários para importar corretamente certificados raiz para o navegador da web?
2. Você tem os recursos para fazer parceria com uma CA raiz existente?

Se a resposta for sim para 1, o CAcert resolveu o seu problema. Se a resposta para 2 for sim, consulte a lista de certificados raiz confiáveis ​​enviados com o OpenSSL, Firefox, IE e Safari e encontre um para assinar seu certificado intermediário.

Acho que seria melhor obter um certificado curinga da CA. Dessa forma, você pode usar o mesmo certificado em qualquer subdomínio do domínio principal, mas não pode emitir certificados para mais nada.

É possível que uma CA raiz emita um certificado, o que possibilita a emissão de outros certificados, mas somente em um domínio específico. Eles precisam definir basicConstraints / CA: true e nameConstraints / allowed; DNS.0 = example.com

Você pode executar sua própria CA e emitir certificados como test.example.com (mas não test.foobar.com ), que por sua vez serão confiáveis ​​pela web pública. Não conheço nenhuma autoridade de certificação raiz que forneça esse serviço, mas é realmente possível. Se alguém se deparar com esse fornecedor, entre em contato.

Além do link de Joe H, aqui está um link que realmente funciona:

https://www.globalsign.com/en/certificate-authority-root-signing/

A assinatura raiz da CA não é barata, mas existe para empresas maiores.

Eu sei que este é um post antigo, mas eu estava procurando muito e quase algo idêntico a isso. Ecoando em alguns outros posts ... é possível ... tudo isso é muito caro e difícil de estabelecer. Este artigo é um pouco útil no "quem faz" e no geral "o que está envolvido" ....

https://aboutssl.org/types-of-root-signing-certificates/

Quanto a alguns extras que eu peguei de algumas fontes dispersas ... alguns dos requisitos são "patrimônio substancial" e "seguro" ... dos quais descobri que estão listados entre US $ 1 milhão e US $ 5 milhões dependendo da fonte. Portanto, escusado será dizer que esta não é uma opção para uma pequena empresa.

Além disso, vi posts afirmando que normalmente levará quase um ano para satisfazer todos os requisitos e passar por todos os obstáculos da auditoria. Além disso, os custos auxiliares envolvidos em todo o processo podem variar de US $ 100 mil a US $ 1 milhão, dependendo dos custos gerais do contratado + legais + mão-de-obra, além de quantos períodos de auditoria você realiza. Então, novamente, não é um empreendimento para uma pequena empresa.