仅为特定域安装 CA

信息安全 证书 公钥基础设施 证书颁发机构
2021-08-14 13:32:24

由于许多原因,组织拥有自己的 CA(自签名或其他方式)通常很方便。

据我了解,将 CA 证书添加到操作系统或浏览器将使其信任组织的服务器 - 但也为组织(或任何攻击者访问 CA 密钥)打开了模拟互联网上任何服务器的大门这是一个问题,尤其是在组织有 BYOD 政策的情况下。

有什么方法可以将 CA 添加到流行的操作系统和浏览器(Windows、Mac、Linux、Android、Chrome、Firefox ......),这样它就只被信任来认证某些域?如果没有,这是因为 PKI 系统的技术限制,还是仅仅因为“还没有人需要它实现”?

1个回答

使用 X.509 可以使用Name Constraints拥有特定于域的CA。但是,它并没有得到很好的支持——许多实现会忽略这些约束。如果它运作良好,商业 CA 可以将特定于域的子 CA 证书出售给域所有者(这在技术上将是比通配符证书更好的解决方案)。

在存在“组织 CA”的许多情况下,用户是组织雇员,对他们而言,CA 是组织上层的散发,即(理论上和形式上)上帝之声。在这些情况下,对单个域的限制不会提供显着的安全改进,这解释了缺乏对此类功能的持续需求(因此,缺乏现有浏览器的支持)。

其它你可能感兴趣的问题
上一篇在企业中通过点击播放插件保护 Flash 下一篇ASP.NET 中的 CSRF