Posso criar meu próprio certificado SSL de Validação Estendida?

34

Posso criar pela própria CA e gerar um certificado SSL autoassinado dessa maneira. Mas o que é necessário para que o navegador mostre o certificado como sendo um "certificado SSL de validação estendida"?

Posso criar um eu mesmo e ensinar meu navegador a mostrá-lo como EV?

Niels Basjes
fonte
Você pode dar uma olhada nisto: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Respostas:

35

A maneira como os certificados SSL EV funcionam é colar um OID específico da autoridade no campo de extensão de políticas de certificado do certificado (que é um certificado X.509 padrão).

Como EK disse, os OIDs de referência para cada autoridade são enviados como parte do repositório raiz de certificados do navegador. As interfaces de usuário não permitem adicionar uma nova autoridade de certificação e dizer "esta é uma autoridade de certificação capaz de EV e o UID é abcdef".

Suponho que seja possível criar um navegador de código aberto a partir do código-fonte, adicionando o seu próprio certificado de CA e seu EV oid ao armazenamento raiz, mas você realmente não conseguiu muito. O navegador não seria mais compatível com as diretrizes de EV do fórum da CA / Browser (que limitam as autoridades habilitadas para EV).

A Wikipedia tem mais informações sobre certificados EV aqui:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F
fonte
2

Não, você não pode. As raízes confiáveis ​​para isso são corrigidas no navegador

JamesRyan
fonte
3
Isso significa apenas que você precisa modificar o navegador. Ele perguntou especificamente se poderia "ensinar meu navegador a mostrá-lo como EV". Se for o Firefox ou outro navegador cuja fonte esteja disponível, ele poderá.
David Schwartz
11
Embora ele tenha realmente dito 'posso ensinar meu navegador', apenas você vê seu próprio certificado como EV é totalmente inútil. Portanto, o objetivo da minha resposta era ser prático e não pedante. Se você quiser ser realmente exigente, minha resposta ainda está correta, pois a compilação de um navegador totalmente novo a partir da fonte não ensina o navegador existente. : P
JamesRyan
5
Não concordo que seja inútil. Por exemplo, em uma organização, seria bom colocá-lo em todos os navegadores para que todos os sites internos fossem reconhecidos.
alguns
Por que você precisaria de um certificado EV para isso? Lembre-se de que isso não abrange todos os aspectos, você ainda pode adicionar uma raiz confiável para certificados que não são EV.
precisa saber é o seguinte
Eles são e não são. Você sempre pode importar e remover certs do seu armazenamento de autoridade de certificação raiz confiável. Como administrador de domínio da minha organização, posso enviar certificados de raiz para meus usuários gerenciados por meio de políticas, para que seus navegadores confiem nos certificados que eu gero para meus servidores internos. Eu também gostaria de saber como assinar meus certificados internos para que meus usuários vejam a validação no nível "EV" em seus certificados. Gostaria que alguém pudesse me dizer o que precisa ser feito para fazer isso.
Erik