Sería bueno difundir la confianza un poco, por lo que no tenemos que depender de una sola raíz en ninguna instancia.¿Pueden firmar un certificado SSL varias autoridades certificadoras?
¿Es posible tener un único certificado firmado por más de una CA?
No, el X509 certificate format hasta la versión 3 está diseñado para contener exactamente una firma.
Sí, es posible. Se puede encontrar un ejemplo aquí:
http://www.confusedamused.com/notebook/fixing-verisign-certificates-on-windows-servers/
No me convence ese artículo. Creo que el autor usa "con signo cruzado" cuando quiere decir "dos certificados para la misma entidad, emitidos por dos cadenas diferentes". Sus capturas de pantalla también muestran un nombre de certificado ligeramente diferente (LYNC-PROD-08 vs LYNC-PROD-08.fngn.com). –
Puede un certificado SSL firmados por múltiples autoridades de certificación?
Depende, pero sobre todo NO. Depende de la PKI que se use. Se utilizan dos PKI generalizadas, y ninguna de ellas lo permite.
La primera PKI extendida es menos de CA/Browser Baseline Requirements. El CA/B BR documenta lo que hacen los navegadores. El segundo es el PKIX de IETF. Es lo que siguen los agentes de usuario como curl y wget. Ninguno de los dos lo permite.
El CA/B y el IETF tienen reglas ligeramente diferentes. Para una discusión más detallada, ver How do you sign Certificate Signing Request with your Certification Authority?
Ahora, hay otras dos opciones que podrían funcionar para usted, pero se requiere algo de trabajo.
La primera opción alternativa es ejecutar su propia PKI que sí lo permita. Pero los navegadores y otros agentes de usuario no sabrán cómo manejar los certificados.
La segunda opción alternativa es usar una extensión que incluya la certificación de la segunda autoridad. Luego, la autoridad principal, como una CA pública, firmaría la solicitud con la extensión. Los agentes de usuario típicos usarán la firma de CA pública habitual, mientras que su software personalizado utilizará la firma alternativa incorporada.
Las extensiones se utilizan generalmente para políticas (como la transmisión de información de "validación ampliada"), pero puede funcionar aquí. Sin embargo, la PKI del IETF no cuenta con una política, por lo que es posible que deba ser creativo.
Ver también Is it possible to have a certificate signed by 2 authorities? en Superusuario.
Consulte también Certificate with Multiple Signers? en la lista de correo de PKIX. PKIX es la PKI de Internet como lo llama el IETF.
¿Pero hay formatos alternativos que admitan múltiples firmas? – Jumbogram
@Jumbogram: no conozco ningún formato alternativo para los certificados X509 que admitan firmas múltiples. Existe el estándar PKCS # 7 y variantes que permiten múltiples firmas, pero TLS no las admite. Y hay extensiones TLS definidas que admiten claves PGP que pueden tener varias firmas, pero no creo que haya mucho soporte para esas extensiones. –
Gracias. Estoy tratando de averiguar si es posible tener varias CA que certifiquen la única sesión de SSL. Me doy cuenta de que no hice esa pregunta, así que podría reformularla y hacer una nueva, pero tu respuesta me ha ayudado. –