Выпуск SSL-сертификата для домена третьего уровня

0

1

Поясните такой момент.

Если сгенерировать сертификат для домена второго уровня на основе root CA - то он будет самоподписанный, так как закрытого ключа для корневого сертификата у нас нет. Но ведь никто не запрещает на основе сертификата для домена mydomain.ru сгенерировать кучу сертификатов для поддоменов name1.mydomain.ru, name2.mydomain.ru, … Можно ведь сделать их не самоподписанными?

Ссылка

←	Аутентификация Socks5

OpenVpn интересные моменты

→

Показаны ответы на комментарий. Показать все комментарии.

Сертификаты для доменов, котоыре ты покупаешь у CA или берешь на халяву у летсэнкрипта имеют ограничения в параметрах, ими нельзя подписывать другие сертификаты

Harald ★★★★★
(26.12.20 16:55:50 UTC)

Ответ на: комментарий от Harald 26.12.20 16:55:50 UTC

можешь в свойствах лоровского сертификата посмотреть и увидеть там такое

Basic Constraints
Certificate Authority: No

Harald ★★★★★
(26.12.20 16:57:44 UTC)

Ссылка

Ответ на: комментарий от Harald 26.12.20 16:55:50 UTC

ими нельзя подписывать другие сертификаты.

Зачем так сделано? Чтобы впаривать дорогие wildcard-сертификаты?

pacify ★★★★★
(27.12.20 19:35:41 UTC) автор топика

Ответ на: комментарий от pacify 27.12.20 19:35:41 UTC

Иначе ты сможешь подписывать сертификаты для любых доменов. Иерархии доверия, что типа сертификат домена второго уровня example.com может подписывать поддомены только третьего уровня xxx.example.com, нигде не реализовано.

Harald ★★★★★
(27.12.20 20:42:03 UTC)

Ответ на: комментарий от Harald 27.12.20 20:42:03 UTC

Иерархии доверия, что типа сертификат домена второго уровня example.com может подписывать поддомены только третьего уровня xxx.example.com, нигде не реализовано.

Чисто интуитивно рассуждаю, что «технически» это возможно сделать только, если есть защищённый канал связи между сервером xxx.example.com и example.com, даже без замены формата ключа. Но надо будет поменять алгоритм работы браузера.

pacify ★★★★★
(28.12.20 16:53:57 UTC) автор топика

Ссылка

Ответ на: комментарий от Harald 26.12.20 16:55:50 UTC

ограничения в параметрах, ими нельзя подписывать другие сертификаты

Там битности не хватает для криптостойкости? Как обеспечен этот запрет технически?

pacify ★★★★★
(28.12.20 16:56:49 UTC) автор топика

Ответ на: комментарий от pacify 28.12.20 16:56:49 UTC

Там битности не хватает для криптостойкости? Как обеспечен этот запрет технически?

просто флажок соответствующий выставлен в структуре сертификата, от битности не зависит

Harald ★★★★★
(28.12.20 17:14:38 UTC)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Аутентификация Socks5

Security

OpenVpn интересные моменты

→

Похожие темы