это скорее юридический, а не технический вопрос. Попробуй поискать в этом направлении.

Корневым вряд ли, могущем подписывать --- да. Но этот воздух не бесплатен.

Selfsigned не пойдёт. То что ты ищешь называется Intermediate CA. И этот воздух очень дорогой, так как ssl is broken by design ©.

Жаль. Я думал возможно при помощи какого-нибудь ПО стать независмым CA для своих сайтов..

Пользуясь случаем, скажите пожалуйста, существует ли вообще какой-нибудь способ держать https без ругани браузера в обход покупки серта? Всмысле сварганить самому что-то.

Нет, в том то и цимес и уродство всего ssl.

Схема такая: Root CA прописаны железно в каждом бровзере (Уродство №1). Root CA подписанны Intermediate CA. Другие Intermediate CA подписанны Intermediate CA. Простые Cert подписанны Intermediate CA или Root CA. Всё что вне этой цепочки — ругань.

Уродство №2 в том, что любой CA может выдать любой Cert. Т.е. если у тебя будет Intermediate CA ты сможешь создать например абсолютно валидный Cert для google.com и любой другой домейн. Соответственно такое удовольствие не дешёвое.

SSL is broken, deal with it.

Коротко о самоподписанных сертификатах

Имею ли я право раздать паспорта жильцам своего подъезда при условии, что я по требованию смогу подтвердить факт выдачи мною этих паспортов?

Не будет ли у них проблем с получением кредитов?

Так то оно так, но почему правительство Малазии выдаёт русские паспорта? ;)

правительство Малазии выдаёт русские паспорта

Да ладно!

для нужд https

можно так http://www.cacert.org/

который будет якобы выдан мною, как корневым центром сертфикации

не распарсил

выдать сертификат подписанный собою сертификат другим сайтам

не распарсил

О сколь открытий чудных ждёт тебя ... par example

А, ты об этом. Я, блин, дословно воспринял.
Ну, это скорее «ZOG за вагон баблищща позволяет любому папуасу выдавать паспорта любой страны кому угодно».(ЗЫ - аццки утрирую, конечно.)

Но ведь вариант с вагоном баблищща для ТСа неприемлем)

Да, именно об этом. ;) SSL is FUBAR, period.

Что бы не ругалось платить придётся так или иначе. ZOG об этом позаботился.

Есть правда маленькие лазейки: если это только для внутреннего использования или для использования на ограниченом кол-ве клиентов, то selfsigned — это решение. Для этого правда придётся или терпеть ругань или добавить свой CA в бровзер/-ы.

startssl.com и другие «триальные» шаражки.

Но ведь вариант с вагоном баблищща для ТСа неприемлем)

Для Абрамовича-то ? Да он просто жадничает :)

Может ли мой сайт (или сервер, не знаю) выдать сертификат подписанный собою сертификат другим сайтам. И если да, то будет ли браузер тогда ругаться при заходе на сайты моих клиентов, если мой сервер сможет подтвердить выдачу итп?

Будет. До тех пор пока сертификат твоего ЦА не попадёт в списки доверенных ЦА браузеров, а такого конечно-же не будет.

Каждый браузер (как и любой ssl клиент в общем-то) доверяет некоторому количеству корневых ЦА. Сертификат считается корректным если его цепочка доверия заканчивается на одном из ЦА которому доверяет клиент (сертификат подписан кем-то чей сертификат подписан кем-то чей сертификат подписан кем-то кому я доверяю). При этом не любой сертификат годится для подписания других сертификатов (и ты такой сертификат не получишь).

Основная проблема всей этой системы в том что достаточно скомпрометировать один из ЦА которому доверяет клиент что-бы скармливать ему любые сертификаты. Если твой браузер доверяет, в числе прочих, моему ЦА то я могу выписать сертификат для любого домена (google.com например) которому твой браузер поверит и станет использовать.
Поэтому производители браузеров едва-ли согласятся вносить сертификат твоего ЦА в список доверенных.

почему уродство? по-моему вполне нормальная и рабочая схема.

Root CA прописаны железно в каждом бровзере

а не в ОС разве? у меня в ОС пакет есть ca-certificates, всегда думал что это оно.

Ты можешь стать центром сертификации(удостоверяющим центром). Для этого вообще достаточно создать корневой сертификат и с его помощью сгенерить сертификаты клиентам.

openssl это умеет, утилиты облегчающие процесс, в том числе веб-интерфейсы тоже есть. См. например, Dogtag

Но только твои сертификаты не будут автоматически признаваться никем.

В принципе на волне общей дискредитации «настоящих» удостоверяющих центров это даже не важно. За самоподписанными сертификатами будущее. Но если твои клиенты далеки от IT, или клиенты твоих клиентов, то чтобы не пугаться предупреждений от браузера им все равно захочется иметь «правильные» сертификаты.

А какие есть варианты? Если делать их однозначно валидными, то и домен должен быть таким, но тогда отдельный сертификат не нужен. Не думаю что народ обрадуется адресам вида GGB99wXYBnX-wOxQ~Xrvo7AvngoYgifvZZL54ksZWzclcirG7AysqfkAKyv906PxfM4y2DcN2K9m4-D99yFj-1BdnUuIEqfi2yuaaVoWuOffT3h9ne~kZnq3C-wrmczD70Gxk4shvSVxMdUEFvEip8QY4K0R-FiKBsFAfWGTE3b9d-QCzP0H9VP5V-CaYjYVQuMRgMluk9gnoLRipvV7483f~rmGgYX8xwygEAQ3v9P4hrAlJrP0lWJLI1K6KQucP3THIxZ4A9Xxnl0I7EZAT8bHwzschFrcDPYM~DtQdkJTz2VphocbNLfIExTrFt88-xC69WE-fSbaMf9jucT4f5kdpfpRu0kM~am40etxPs8uXGF-L9IXCjgUkJHrWdPHeGhnx-ye2xvUTLO2jyga8iY89Ee3IpqivVUg-iAQJzX9NXC29sf0YzNj8d8mdWRNuzbLSx9CVJ3l1NPJr4k7hmCqf8lBGXNIFZQL4Wez1PPcM4gw0o73gqIxkxvVzVcpAAAA

Но существенный плюс есть - доверяем только при первом коннекте.

Для всего, что использует openssl, ты можешь стать корневым центром сертификации, положив свой сертификат в /etc/ssl/certs.

Firefox в Ubuntu, как и openssl, использует пакет ca-certificates. Другие браузеры могут использовать что-то ещё.

Можно взять сертификат *.yourdomain.com и твои клиенты смогут использовать адрес sitename.yourdomain.com для https. Домен сайта конечно лучше, но как вариант.