Подтвердить что ты не робот

Может ли сертификат SSL подписываться несколькими органами сертификации?

Было бы неплохо распространить доверие немного, поэтому нам не нужно полагаться только на один корень в любом случае.

Возможно ли иметь один сертификат, подписанный несколькими CA?

4b9b3361

ОТВЕТЫ

Ответ 3

Можно ли подписывать сертификат SSL несколькими органами сертификации?

Это зависит, но в основном НЕТ. Это зависит от используемого PKI. Существует два распространенных PKI, и ни один из них не позволяет этого.

Первый широко распространенный PKI находится под CA/Browser Baseline Requirements. CA/B BR документирует, что делают браузеры. Второй - IETF PKIX. Это то, что пользовательские агенты, такие как curl и wget, следуют. Ни один из них не допускает этого.

CA/B и IETF имеют несколько иные правила. Более подробное обсуждение см. В Как вы подписываете запрос подписи сертификата в своем сертификационном центре?

Теперь есть два других варианта, которые могут сработать для вас, но они потребуют некоторой работы.

Первая альтернативная опция - запустить свой собственный PKI, который позволяет это. Но браузеры и другие пользовательские агенты не будут знать, как обрабатывать сертификаты.

Второй альтернативный вариант - использовать расширение, которое включает в себя вторую сертификацию полномочий. Затем первичный орган, как открытый ЦС, будет подписывать запрос с расширением. Типичные пользовательские агенты будут использовать обычную общедоступную подпись ЦС, в то время как ваше пользовательское программное обеспечение будет использовать встроенную альтернативную подпись.

Расширения обычно используются для политики (например, передача информации о расширенной проверке), но она может работать здесь. Тем не менее, в IETF PKI отсутствует политика, поэтому вам может потребоваться творческий подход.

Также см. Возможно ли иметь сертификат, подписанный двумя полномочиями? на Super User.

Также см. Сертификат с несколькими подписчиками? в списке рассылки PKIX. PKIX - это интернет-PKI, вызванный IETF.