中間SSL証明書の取得

20

サブドメイン証明書に署名するために使用する中間証明書を購入することはできますか？ブラウザで認識される必要があり、ワイルドカード証明書を使用できません。

検索はこれまでのところ何も見つかりませんでした。誰かがそのような証明書を発行していますか？

ssl

— アレックスB
ソース

3

DigiCert Enterpriseを使用すると、ドメインを事前に検証してから、大規模なサブドメイン証明書を生成できます。（開示：DigiCertで働いていませんが、雇用主は証明書サービスを使用しています。）

— Moshe Katz 14年

18

問題は、現在使用されているインフラストラクチャと実装が、一部の（サブ）ドメインのみに制限されている中間証明書をサポートしていないことです。つまり、これは、所有していないドメインの証明書であっても、任意の中間証明書を使用して必要な証明書に署名でき、ブラウザがそれを信頼できることを意味します。

したがって、このような中間証明書は、これが何を意味するにせよ、本当に信頼できる組織にのみ与えられます（ただし、おそらく多くのお金が必要です）。

— ステフェン・ウルリッヒ
ソース

9

はい、ComodoやDigiNotarなどの本当に信頼できる組織です。またはVeriSign（「Microsoft証明書を探しています...」/「Here you go」）。TURKTRUST、Digicert Sdn。Bhd社、...

— basic6

実際はありません-彼らは独自のルートと中間を実行します。ルートの置き換えは複雑です。通常、ルート証明書のみを使用して中間CA証明書に署名し、ルートCAをオフラインにします。;）

— トムトム14年

特別な理由もなくグーグルを選んでいますが、中間CAを持ち、証明書を販売していないため、TLS経由でSMTPを実行しているホストのペア間でMITMを迅速に検出することなく、盗まれ、悪用される可能性があります。SMTP接続の証明書がgoogleによって発行されたものに変更されても、かなりの数のシステム管理者が考えすぎないのではないかと思います。

— フィルレロ

...確かに、これは、ビジネスが電子メール用のGoogleアプリに切り替わったときに起こることです。

— フィルレロ

実際、現在のPKIはこれを明示的にサポートしています。RFC 5280セクションでは、名前の制約の拡張を定義しています。これにより、作成できるドメインを制限した中間CAを作成できます。問題は、実際には実装されていないことです。

— ジェイク

7

いいえ、それは元の証明書の違反であるためです-ブラウザはあなたの証明書を信頼し、google.comなどのために何かを発行し始めることができます。

中間認証局には多くの力があります。中間CAは、ルート証明書を介して信頼される証明書署名機関であり、仕様では下位CAの制限を許可していません。

そのため、信頼できる認証機関があなたに証明書を提供することはありません。

— トムトム
ソース

3

確かに、中間証明書のスコープを（たとえば、単一のドメインに）制限できるという印象を受けました。別の答えは、そうではないことを暗示しているようです。

— アレックスB 14年

1

そうではありません。中間CAは、証明書署名機関（ルート証明書を介して信頼される）であり、仕様では下位CAの制限を許可していません。

— トムトム14年

@TomTom：良い説明。私はあなたのコメントをあなたの答えに編集する自由を取りました。

— sleske

@alexb仕様では許可されていますが、クライアントの実装に依存してサポートすることはできません。残念ながら、参照は見つかりませんが、かなり自信があります。

— フィルレロ

5

GeoTrustから有効なCAを購入することができました。

英語のページで製品を見つけることができませんでしたが、ここにアーカイブバージョンがあります。

http://archive.is/q01DZ

GeoRootを購入するには、次の最小要件を満たしている必要があります。

500万ドル以上の純資産

最低500万ドルのエラーおよび脱落保険

定款（または類似のもの）および提供された在職証明書

書面で管理された証明書実施規定（CPS）

ルート証明書キーを生成および保存するためのFIPS 140-2レベル2準拠デバイス（GeoTrustはSafeNet、Inc.と提携しています）

Baltimore / Betrusted、Entrust、Microsoft、Netscape、またはRSAの承認済みCA製品

製品はまだドイツ語のページで利用可能です：

http://www.geotrust.com/de/enterprise-ssl-certificates/georoot/

— さまよえる
ソース

4

（これは、証明書とCAの背後に「魔法」がないことを理解するのに役立つと信じているため、古い質問に対する新しい答えです）

@Steffen Ullrichによる承認された回答の延長として

ウェブサイトの事を識別するための証明書全体は、単なる大金ビジネスです。X509証明書は（とりわけ）RFC5280によって定義され、誰でもルートCAまたは中間CAになることができます。すべては、そのエンティティに関する信頼に依存します。

例：Active Directoryドメインにいる場合、プライマリドメインコントローラーは既定で信頼されたルート証明機関です。一方、他のサードパーティは一切関与していません。

広範なインターネットでは、問題は「信頼できる人」を特定することです。なぜなら、それはただ1つの会社よりもはるかに大きいからです。したがって、ブラウザベンダーは、同意を求めることなく信頼するルートCAのカスタムの任意リストを提供します。

つまり、Mozilla Foundationと非常に良い関係がある場合は、Firefoxブラウザの次のリリースで、独自の任意の自己署名ルートCAをそのリストに追加できます。

さらに、証明書に関する動作とブラウザの動作に関するルールを定義するRFCはありません。これは、証明書の「CN」がドメイン名に等しいため、一致することになっているという暗黙のコンセンサスです。

これはある時点では十分ではなかったため、ブラウザベンダーはすべて、フォームのワイルドカード証明書*.domain.comが任意のサブドメインに一致することを暗黙のうちに熟成しました。しかし、1つのレベルのみに一致sub.sub.domain.comします。彼らがそう決めたからです。

さて、あなたの元の質問について、プライマリドメイン証明書があなた自身のサブドメインのサブ証明書を作成することを妨げるのは何ですか、それはブラウザがチェックする簡単なプロセスであり、証明書チェーンを取得するだけです。

答えは：何もない

（ただし、技術的には、独自のドメイン証明書に「フラグ」が必要です）

ブロワーズベンダーは、これが十分に便利だと判断した場合、サポートを決定する場合があります。

しかし、私の最初の声明に戻って、これは大金ビジネスです。そのため、ブラウザベンダーと契約を結んでいる少数のルートCAは、そのリストに掲載するために多額のお金を費やしています。そして今日、彼らはあなたが個々のサブドメイン証明書の代金を支払うか、はるかに高価なワイルドカードを取得する必要があるため、そのお金を取り戻します。彼らがあなたにあなた自身のサブドメイン証明書を作成することを許可した場合、これは途方もなく彼らの利益を減らすでしょう。だから、今日のように、あなたはそれをすることはできません。

厳密には有効なx509証明書ですが、どのブラウザーもそれを認識しないため、まだ可能です。

— サイモン
ソース

ADの例でのちょっとした選択。Active Directory自体は、実際にはPKIインフラストラクチャを使用していません。これを個別に起動し、必要に応じてチェーンを信頼するようにドメインを構成してから、ドメインコントローラーの証明書を生成する必要があります。そうでなければ、良い答え。

— ライアンボルガー