ssl certificate domain Un certificato SSL può essere firmato da più autorità di certificazione?




attiva ssl-certificate (3)

Un certificato SSL può essere firmato da più autorità di certificazione?

Dipende, ma principalmente NO. Dipende dal PKI in uso. Sono utilizzati due PKI diffusi e nessuno dei due lo consente.

La prima PKI diffusa è in CA / Browser Baseline Requirements . Il CA / B BR documenta cosa stanno facendo i browser. Il secondo è il PKIX di IETF. È ciò che gli interpreti come curl e wget seguono. Nessuno dei due lo consente.

Il CA / B e IETF hanno regole leggermente diverse. Per una discussione più approfondita, vedere Come si firma la richiesta di firma del certificato con la propria autorità di certificazione?

Ora, ci sono altre due opzioni che potrebbero funzionare per te, ma richiedono del lavoro.

La prima opzione alternativa consiste nell'eseguire il proprio PKI che lo consente. Ma i browser e gli altri programmi utente non sapranno come gestire i certificati.

La seconda opzione alternativa consiste nell'utilizzare un'estensione che include la certificazione della seconda autorità. Quindi, l'autorità principale, come una CA pubblica, firmava la richiesta con estensione. I programmi utente tipici utilizzeranno la tipica firma CA pubblica, mentre il software personalizzato utilizzerà la firma alternativa incorporata.

Le estensioni vengono solitamente utilizzate per la politica (come il trasporto di informazioni sulla "validazione estesa"), ma potrebbero funzionare qui. Tuttavia, il PKI dell'IETF è privo di criteri, quindi potrebbe essere necessario essere creativi.

Vedi anche È possibile avere un certificato firmato da 2 autorità? su Super User.

Vedi anche Certificato con più firmatari? sulla mailing list di PKIX. PKIX è l'infrastruttura PKI di Internet chiamata da IETF.

Sarebbe bello diffondere la fiducia un po ', quindi non dobbiamo fare affidamento su una sola radice in nessuna istanza.

È possibile avere un solo certificato firmato da più di una CA?







certificate-authority