Могу ли я создать свой собственный сертификат SSL с расширенной проверкой?

34

Я могу создать собственный CA и сгенерировать самоподписанный сертификат SSL таким образом. Но что нужно сделать, чтобы браузер показал сертификат как «SSL-сертификат расширенной проверки»?

Могу ли я создать его самостоятельно и научить свой браузер показывать его как EV?

Нильс Бажес
источник
Вы можете взглянуть на это: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Ник

Ответы:

35

Способ работы EV SSL-сертификатов заключается в том, чтобы вписывать OID для конкретного органа в поле расширения политик сертификата сертификата (в противном случае это стандартный сертификат X.509).

Как сказал EK, ссылочные OID для каждого органа отправляются как часть корневого хранилища сертификатов браузера. Пользовательские интерфейсы не позволяют вам добавлять новый CA и говорят, что «это CA с поддержкой EV, а UID - abcdef».

Я полагаю, что можно было бы создать браузер с открытым исходным кодом из источника, добавив сертификат своего собственного ЦС вместе с его EV-oid в корневое хранилище, но на самом деле вы многого этого не достигли. Браузер больше не будет соответствовать руководящим принципам EV форума CA / Browser (которые ограничивают полномочия EV-совместимых).

Википедия имеет больше информации о сертификатах EV здесь:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

Джеймс Ф
источник
2

Нет, ты не можешь. Надежные корни для них зафиксированы в браузере

JamesRyan
источник
3
Это просто означает, что вы должны изменить браузер. Он специально спросил, может ли он «научить мой браузер показывать его как EV». Если это FireFox или другой браузер, источник которого доступен, то он может.
Дэвид Шварц
1
Хотя он на самом деле сказал «могу я научить свой браузер», только вы видите свой собственный сертификат как EV совершенно бессмысленно. Таким образом, целью моего ответа было быть практичным, а не педантичным. Если вы хотите быть действительно разборчивым, мой ответ по-прежнему верен, потому что компиляция нового браузера из исходного кода не учит вашему существующему браузеру. : P
JamesRyan
5
Я не согласен, что это бессмысленно. Например, в организации было бы неплохо установить его в каждом браузере, чтобы все внутренние сайты распознавались.
некоторые
Зачем вам нужен сертификат EV для этого? Помните, что это не распространяется на все сертификаты, вы все равно можете добавить доверенный корень для не сертификатов EV.
JamesRyan
Они есть и нет. Вы всегда можете импортировать и удалить сертификаты из хранилища доверенного корневого центра сертификации. Как администратор домена для моей организации, я могу передавать корневые сертификаты моим управляемым пользователям через политику, чтобы их браузеры доверяли сертификатам, которые я генерирую для своих внутренних серверов. Я также хотел бы знать, как подписать свои внутренние сертификаты, чтобы мои пользователи видели подтверждение уровня «EV» в своих сертификатах. Хотел бы кто-нибудь сказать мне, что нужно сделать, чтобы сделать это.
Эрик