Чи можу я створити власний сертифікат розширеної валідації SSL?


34

Я можу створити власний CA та створити сертифікат SSL, який підписався самостійно. Але що потрібно, щоб браузер показав сертифікат як "сертифікат розширеної валідації SSL"?

Чи можу я створити його сам і навчити браузер показувати його як EV?


Ви можете поглянути на це: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Відповіді:


35

Те, як працюють сертифікати EV SSL, полягає в приклеюванні OID-специфічного для повноважень у полі розширення політики сертифікатів cert (що в іншому випадку є стандартним сертифікатом X.509).

Як зазначає Е.К., посилання OID для кожного органу поставляються як частина кореневого сховища браузера сертифікатів. Користувацькі інтерфейси не дозволяють вам додати новий CA і сказати "це CA, здатний на EV, і UID - abcdef".

Я припускаю, що можливо створити браузер із відкритим кодом з джерела, додавши власний сервер CA разом із його EV oid до кореневого сховища, але ви насправді цього не досягли дуже багато. Веб-переглядач більше не відповідатиме керівництву EV / форуму CA / Browser (які обмежують повноваження щодо функціонування EV).

Вікіпедія має більше інформації про сертифікати EV тут:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate


2

Ні, ти не можеш. Довірені корені для них фіксуються в браузері


3
Це просто означає, що ви повинні змінити браузер. Він спеціально запитав, чи може він "навчити мого браузера показувати це як EV". Якщо це FireFox або інший браузер, джерело якого доступне, він може.
Девід Шварц

1
Хоча він насправді сказав: "чи можу я навчити свій браузер", тільки ви бачите свій власний сертифікат як EV абсолютно безглуздий. Тому метою моєї відповіді було бути практичним, а не педантичним. Якщо ви хочете отримати справді вибагливий, моя відповідь все-таки правильна, оскільки компіляція цілком нового браузера з джерела не навчає існуючого браузера. : P
JamesRyan

5
Я не згоден, що це безглуздо. Наприклад, в організації було б непогано розмістити його в кожному браузері, щоб усі внутрішні сайти були розпізнані.
десь

Навіщо для цього вам потрібен сертифікат EV? Пам'ятайте, що це стосується не всіх сертів, ви можете додати надійний корінь для сертифікатів, що не належать EV
JamesRyan

Вони є, а їх немає. Ви завжди можете імпортувати та видаляти серти з вашого надійного магазину авторизованих сертифікатів кореневих сертифікатів. Як адміністратор домену для моєї організації, я можу надсилати кореневі серти до своїх керованих користувачів за допомогою політики, щоб їх браузери довіряли сертифікатам, які я генерую для своїх внутрішніх серверів. Я також хотів би знати, як підписати свої внутрішні сертифікати, щоб мої користувачі бачили в своїх сертифікатах рівень "EV". Бажаючи, щоб хтось міг сказати мені, що для цього потрібно зробити.
Ерік
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.