Miło byłoby nieco rozłożyć zaufanie, więc nie musimy polegać tylko na jednym katalogu głównym w każdym przypadku.Czy certyfikat SSL może być podpisany przez wiele urzędów certyfikacji?
Czy możliwe jest posiadanie pojedynczego certyfikatu podpisanego przez więcej niż jeden urząd certyfikacji?
Nie, X509 certificate format aż do wersji 3 została zaprojektowana tak, aby zawierała dokładnie jeden podpis.
Tak, jest to możliwe. Można znaleźć tu przykład:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
Nie jestem przekonany do tego artykułu. Myślę, że autor używa "cross-signed", gdy ma na myśli "dwa certyfikaty dla tego samego podmiotu, wydane przez dwa różne łańcuchy". Jego zrzuty ekranu pokazują również nieco inną nazwę certyfikatu (LYNC-PROD-08 vs LYNC-PROD-08.fngn.com). –
Czy certyfikat SSL podpisany przez wielu urzędów certyfikacji?
To zależy, ale głównie NIE. To zależy od używanej PKI. Istnieją dwa powszechnie stosowane PKI i żadne z nich na to nie pozwala.
Pierwsza powszechna PKI jest pod CA/Browser Baseline Requirements. CA/B BR dokumentuje, jakie przeglądarki robią. Drugi to PKIX IETF. To właśnie agenty użytkownika lubią curl i wget. Żadne z nich na to nie pozwala.
CA/B i IETF mają nieco inne zasady. Do dyskusji bardziej dogłębne, zobacz How do you sign Certificate Signing Request with your Certification Authority?
Obecnie istnieją dwie inne opcje, które mogą pracować dla Ciebie, ale będą wymagać trochę pracy.
Pierwsza alternatywna opcja to uruchomienie własnej infrastruktury PKI, która na to pozwala. Jednak przeglądarki i inne programy klienckie nie będą wiedzieć, jak obsługiwać certyfikaty.
Drugą alternatywną opcją jest użycie rozszerzenia, które obejmuje certyfikację drugiego organu. Następnie główny organ, taki jak publiczny urząd certyfikacji, podpisze żądanie z rozszerzeniem. Typowe aplikacje klienckie będą używać zwyczajowego publicznego podpisu urzędu certyfikacji, a niestandardowe oprogramowanie będzie używać wbudowanego podpisu zastępczego.
Rozszerzenia są zwykle używane w przypadku zasad (np. Przekazywanie "rozszerzonej walidacji"), ale może się tu sprawdzić. Jednak PKI IETF nie ma strategii, więc być może trzeba będzie się wykazać kreatywnością.
Zobacz także Is it possible to have a certificate signed by 2 authorities? na Superużytkowniku.
Zobacz także Certificate with Multiple Signers? na liście mailingowej PKIX. PKIX to internetowa infrastruktura PKI, na którą wskazuje IETF.
Ale czy istnieją alternatywne formaty obsługujące wiele podpisów? – Jumbogram
@Jumbogram: Nie znam alternatywnych formatów certyfikatów X509 obsługujących wiele podpisów. Istnieje standard PKCS # 7 i warianty, które pozwalają na wiele podpisów, ale nie są one obsługiwane przez TLS. Są też zdefiniowane rozszerzenia TLS, które obsługują klucze PGP, które mogą mieć wiele podpisów, ale nie sądzę, że istnieje wiele wsparcia dla tych rozszerzeń. –
Dzięki. Próbuję dowiedzieć się, czy możliwe jest certyfikowanie jednej sesji SSL przez wiele urzędów certyfikacji. Zdaję sobie sprawę, że nie zadawałem tego pytania, więc mógłbym przeformułować i stworzyć nowe, ale twoja odpowiedź pomogła mi. –