LINUX.ORG.RU
ФорумAdmin

Могу ли я сам стать корневым ЦС для сертификатов вирт.сайтов

 , , ,


1

2

Приветствую всех!

Помогите пожалуйста, а точнее подскажите ответ на вопрос.. Гугл сколько не пытал - так ничего и не выдал партизан(

Собственно, дело вот в чем: имеется vps с рядом виртуальных сайтов (мои клиенты). Одним из сайтов является основной мордой сервера с информацией о том как у меня можно разместиться.

Вопрос: могу ли я каким-либо образом создать своим клиентам самоподписанный сертификат для нужд https, но который будет якобы выдан мною, как корневым центром сертфикации?

Наверное не слишком понятно сформулировал, поэтому, на пальцах:

Может ли мой сайт (или сервер, не знаю) выдать сертификат подписанный собою сертификат другим сайтам. И если да, то будет ли браузер тогда ругаться при заходе на сайты моих клиентов, если мой сервер сможет подтвердить выдачу итп?

Прошу прощения за «подачу», но к сожалению, плохо разбираюсь в данной терминологии.

Прошу помощи спецы ЛОРа! Заранее благодарю!

это скорее юридический, а не технический вопрос. Попробуй поискать в этом направлении.

TDrive ★★★★★
()

Корневым вряд ли, могущем подписывать --- да. Но этот воздух не бесплатен.

pony
()
Ответ на: комментарий от beastie

Жаль. Я думал возможно при помощи какого-нибудь ПО стать независмым CA для своих сайтов..

Пользуясь случаем, скажите пожалуйста, существует ли вообще какой-нибудь способ держать https без ругани браузера в обход покупки серта? Всмысле сварганить самому что-то.

Abramovich
() автор топика
Ответ на: комментарий от Abramovich

Нет, в том то и цимес и уродство всего ssl.

Схема такая: Root CA прописаны железно в каждом бровзере (Уродство №1). Root CA подписанны Intermediate CA. Другие Intermediate CA подписанны Intermediate CA. Простые Cert подписанны Intermediate CA или Root CA. Всё что вне этой цепочки — ругань.

Уродство №2 в том, что любой CA может выдать любой Cert. Т.е. если у тебя будет Intermediate CA ты сможешь создать например абсолютно валидный Cert для google.com и любой другой домейн. Соответственно такое удовольствие не дешёвое.

SSL is broken, deal with it.

beastie ★★★★★
()

Коротко о самоподписанных сертификатах

Имею ли я право раздать паспорта жильцам своего подъезда при условии, что я по требованию смогу подтвердить факт выдачи мною этих паспортов?

Не будет ли у них проблем с получением кредитов?

thesis ★★★★★
()

для нужд https

можно так http://www.cacert.org/

который будет якобы выдан мною, как корневым центром сертфикации

не распарсил

выдать сертификат подписанный собою сертификат другим сайтам

не распарсил

wakuwaku ★★★★
()
Ответ на: комментарий от beastie

А, ты об этом. Я, блин, дословно воспринял.
Ну, это скорее «ZOG за вагон баблищща позволяет любому папуасу выдавать паспорта любой страны кому угодно».(ЗЫ - аццки утрирую, конечно.)

Но ведь вариант с вагоном баблищща для ТСа неприемлем)

thesis ★★★★★
()
Последнее исправление: thesis (всего исправлений: 1)
Ответ на: комментарий от thesis

Да, именно об этом. ;) SSL is FUBAR, period.

Что бы не ругалось платить придётся так или иначе. ZOG об этом позаботился.

Есть правда маленькие лазейки: если это только для внутреннего использования или для использования на ограниченом кол-ве клиентов, то selfsigned — это решение. Для этого правда придётся или терпеть ругань или добавить свой CA в бровзер/-ы.

beastie ★★★★★
()
Ответ на: комментарий от thesis

Но ведь вариант с вагоном баблищща для ТСа неприемлем)

Для Абрамовича-то ? Да он просто жадничает :)

pony
()

Может ли мой сайт (или сервер, не знаю) выдать сертификат подписанный собою сертификат другим сайтам. И если да, то будет ли браузер тогда ругаться при заходе на сайты моих клиентов, если мой сервер сможет подтвердить выдачу итп?

Будет. До тех пор пока сертификат твоего ЦА не попадёт в списки доверенных ЦА браузеров, а такого конечно-же не будет.

Каждый браузер (как и любой ssl клиент в общем-то) доверяет некоторому количеству корневых ЦА. Сертификат считается корректным если его цепочка доверия заканчивается на одном из ЦА которому доверяет клиент (сертификат подписан кем-то чей сертификат подписан кем-то чей сертификат подписан кем-то кому я доверяю). При этом не любой сертификат годится для подписания других сертификатов (и ты такой сертификат не получишь).

Основная проблема всей этой системы в том что достаточно скомпрометировать один из ЦА которому доверяет клиент что-бы скармливать ему любые сертификаты. Если твой браузер доверяет, в числе прочих, моему ЦА то я могу выписать сертификат для любого домена (google.com например) которому твой браузер поверит и станет использовать.
Поэтому производители браузеров едва-ли согласятся вносить сертификат твоего ЦА в список доверенных.

MrClon ★★★★★
()
Ответ на: комментарий от beastie

почему уродство? по-моему вполне нормальная и рабочая схема.

Root CA прописаны железно в каждом бровзере

а не в ОС разве? у меня в ОС пакет есть ca-certificates, всегда думал что это оно.

Komintern ★★★★★
()

Ты можешь стать центром сертификации(удостоверяющим центром). Для этого вообще достаточно создать корневой сертификат и с его помощью сгенерить сертификаты клиентам.

openssl это умеет, утилиты облегчающие процесс, в том числе веб-интерфейсы тоже есть. См. например, Dogtag

Но только твои сертификаты не будут автоматически признаваться никем.

В принципе на волне общей дискредитации «настоящих» удостоверяющих центров это даже не важно. За самоподписанными сертификатами будущее. Но если твои клиенты далеки от IT, или клиенты твоих клиентов, то чтобы не пугаться предупреждений от браузера им все равно захочется иметь «правильные» сертификаты.

alpha ★★★★★
()
Ответ на: комментарий от beastie

А какие есть варианты? Если делать их однозначно валидными, то и домен должен быть таким, но тогда отдельный сертификат не нужен. Не думаю что народ обрадуется адресам вида GGB99wXYBnX-wOxQ~Xrvo7AvngoYgifvZZL54ksZWzclcirG7AysqfkAKyv906PxfM4y2DcN2K9m4-D99yFj-1BdnUuIEqfi2yuaaVoWuOffT3h9ne~kZnq3C-wrmczD70Gxk4shvSVxMdUEFvEip8QY4K0R-FiKBsFAfWGTE3b9d-QCzP0H9VP5V-CaYjYVQuMRgMluk9gnoLRipvV7483f~rmGgYX8xwygEAQ3v9P4hrAlJrP0lWJLI1K6KQucP3THIxZ4A9Xxnl0I7EZAT8bHwzschFrcDPYM~DtQdkJTz2VphocbNLfIExTrFt88-xC69WE-fSbaMf9jucT4f5kdpfpRu0kM~am40etxPs8uXGF-L9IXCjgUkJHrWdPHeGhnx-ye2xvUTLO2jyga8iY89Ee3IpqivVUg-iAQJzX9NXC29sf0YzNj8d8mdWRNuzbLSx9CVJ3l1NPJr4k7hmCqf8lBGXNIFZQL4Wez1PPcM4gw0o73gqIxkxvVzVcpAAAA

KillTheCat ★★★★★
()
Ответ на: комментарий от KillTheCat

Но существенный плюс есть - доверяем только при первом коннекте.

KillTheCat ★★★★★
()

Для всего, что использует openssl, ты можешь стать корневым центром сертификации, положив свой сертификат в /etc/ssl/certs.

Firefox в Ubuntu, как и openssl, использует пакет ca-certificates. Другие браузеры могут использовать что-то ещё.

selivan ★★★
()
Последнее исправление: selivan (всего исправлений: 2)

Можно взять сертификат *.yourdomain.com и твои клиенты смогут использовать адрес sitename.yourdomain.com для https. Домен сайта конечно лучше, но как вариант.

goingUp ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.