¿Puedo construir mi propio certificado SSL de validación extendida?

34

Puedo crear por propia CA y generar un certificado SSL autofirmado de esta manera. Pero, ¿qué se necesita para que el navegador muestre el certificado como un "certificado SSL de validación extendida"?

¿Puedo crear uno yo mismo y enseñarle a mi navegador a mostrarlo como EV?

Niels Basjes
fuente
Puede echar un vistazo a esto: blog.sidstamm.com/2009/04/roll-your-own-ev.html
Nick

Respuestas:

35

La forma en que funcionan los certificados EV SSL es pegar un OID específico de la autoridad en el campo de extensión de políticas del certificado del certificado (de lo contrario, es un certificado X.509 estándar).

Como dijo EK, los OID de referencia para cada autoridad se envían como parte del almacén raíz de certificados del navegador. Las interfaces de usuario no le permiten agregar una nueva CA y dicen "esta es una CA compatible con EV y el UID es abcdef".

Supongo que podría ser posible construir un navegador de código abierto desde la fuente, agregando su propio certificado de CA junto con su oid EV al almacén raíz, pero realmente no ha logrado mucho al hacerlo. El navegador ya no cumpliría con las pautas EV del foro CA / Browser (que limitan las autoridades con capacidad EV).

Wikipedia tiene más información sobre los certificados EV aquí:

http://en.wikipedia.org/wiki/Extended_Validation_Certificate

James F
fuente
2

No, no puedes. Las raíces confiables para estos se arreglan dentro del navegador

JamesRyan
fuente
3
Eso solo significa que tienes que modificar el navegador. Él preguntó específicamente si podía "enseñarle a mi navegador a mostrarlo como EV". Si es FireFox u otro navegador cuya fuente está disponible, entonces puede hacerlo.
David Schwartz
1
Si bien en realidad dijo 'puedo enseñarle a mi navegador', solo tú viendo tu propio certificado como EV no tiene sentido. Por lo tanto, el objetivo de mi respuesta era ser más práctico que pedante. Si quieres ser muy exigente, mi respuesta sigue siendo correcta porque compilar un navegador completamente nuevo desde la fuente no está enseñando tu navegador actual. : P
JamesRyan
55
No estoy de acuerdo con que no tenga sentido. Por ejemplo, en una organización sería bueno ponerlo en cada navegador para que se reconozcan todos los sitios internos.
Algunos
¿Por qué necesitarías un certificado EV para eso? Recuerde que esto no cubre todos los certificados, aún puede agregar una raíz confiable para certificados que no sean EV.
JamesRyan
Son y no son. Siempre puede importar y eliminar certificados de su almacén de autoridad de certificados raíz de confianza. Como administrador de dominio para mi organización, puedo enviar certificados raíz a mis usuarios administrados mediante una política para que sus navegadores confíen en los certificados que genero para mis servidores internos. A mí también me gustaría saber cómo firmar mis certificados internos para que mis usuarios vean la validación de nivel "EV" en sus certificados. Ojalá alguien pudiera decirme qué hay que hacer para hacer eso.
Erik