Puis-je créer mon propre certificat SSL Extended Validation?

34

Je peux créer par mon propre autorité de certification et générer un certificat SSL auto-signé de cette manière. Mais que faut-il pour que le navigateur affiche le certificat comme étant un "certificat SSL de validation étendue"?

Puis-je en créer un moi-même et apprendre à mon navigateur à le montrer en tant que VÉ?

Niels Basjes
la source
Vous pouvez jeter un oeil à ceci: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Réponses:

35

Le fonctionnement des certificats SSL EV consiste à coller un OID spécifique à une autorité dans le champ d'extension des stratégies de certification du certificat (qui est un certificat X.509 standard).

Comme EK l'a dit, les OID de référence de chaque autorité sont fournis avec le magasin racine de certificats du navigateur. Les interfaces utilisateur ne vous permettent pas d'ajouter une nouvelle autorité de certification et d'indiquer "il s'agit d'une autorité de certification capable de gérer les VE et l'UID est abcdef".

Je suppose qu’il serait peut-être possible de créer un navigateur open-source à partir de la source, en ajoutant le certificat de votre propre autorité de certification avec son identifiant EV au magasin racine, mais vous n’avez pas vraiment fait grand-chose en le faisant. Le navigateur ne serait plus conforme aux directives EV du forum CA / Browser (qui limitent les autorités capables de gérer les EV).

Wikipedia a plus d'informations sur les certificats EV ici:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F
la source
2

Non tu ne peux pas. Les racines de confiance pour celles-ci sont corrigées dans le navigateur

JamesRyan
la source
3
Cela signifie simplement que vous devez modifier le navigateur. Il a spécifiquement demandé s'il pouvait "apprendre à mon navigateur à le montrer comme EV". Si c'est FireFox ou un autre navigateur dont la source est disponible, alors il le peut.
David Schwartz
1
Bien qu'il ait effectivement dit "Puis-je enseigner à mon navigateur", vous ne voyez que votre propre cert en tant que EV est totalement inutile. Le but de ma réponse était donc d’être plus pratique que pédant. Si vous voulez être vraiment difficile, ma réponse est quand même correcte, car compiler un tout nouveau navigateur à partir des sources n'enseigne pas votre navigateur actuel. : P
JamesRyan
5
Je ne suis pas d'accord pour dire que c'est inutile. Par exemple, dans une organisation, il serait bien de le placer sur tous les navigateurs pour que tous les sites internes soient reconnus.
certains
Pourquoi auriez-vous besoin d'un certificat EV pour cela? Rappelez-vous que cela ne couvre pas tous les certificats, vous pouvez toujours ajouter une racine de confiance pour les certificats non EV.
JamesRyan
Ils sont et ils ne sont pas. Vous pouvez toujours importer et supprimer des certs de votre magasin d'autorités de certification racine de confiance. En tant qu'administrateur de domaine pour mon organisation, je peux transmettre des certificats racine à mes utilisateurs gérés par le biais de stratégies afin que leurs navigateurs approuvent les certificats que je génère pour mes serveurs internes. Moi aussi, j'aimerais savoir comment signer mes certificats internes pour que mes utilisateurs voient la validation de niveau "EV" dans leurs certificats. J'aimerais que quelqu'un me dise ce qu'il faut faire pour le faire.
Erik