История изменений
Исправление Vovka-Korovka, (текущая версия) :
Такое, что squid сертификатом не предназначенным для подписывания вполне подписывает
Т.е. сделать нормальный сертификат с правом подписи ты не осилил.
и в сентябре (когда я этим вопросом занимался) в файрфоксе такой бардак прокатывал.
Он не прокатывал. Firefox тебе честно показывал ошибку, но давал возможность отстрелить себе ногу.
Ну ругался он на неверный самоподписанный сертификат. Но, на сайт пускал. На ЛОР. Но, ЛОР не использует пининг. А на сайтах с пинингом не прокатывало. Больше мне сказать нечего. Как это связано с пинингом уж сам решай.
Ну и? Файрфокс все правильно делал - поскольку добавить подписывающий сертификат на клиенты ты поленился, то у него сработала pinning проверка, которая имеет очень высокий приоритет. И для этого случая файрфокс не дает стрелять себе в ногу.
Как это относится к моему высказыванию, с которым ты спорил - если добавить подписывающий сертификат (нормальные люди поставят там право подписи) в Хромиум как доверенный, то у него pinning проверка не сработает.
Я ниоткуда не возьму. Насчёт третьих лиц я уже не настолько уверен. Откуда мне знать, что какой-нибудь промежуточный удостоверяющий центр не является слишком любопытным.
Мы говорили не о CA. То что любой доверенный CA может выпустить сертификат под любой домен это понятно. Только с сайтами из пиннинг листа это все равно не сработает - он как раз и был создан, чтобы обезопаситься от недобросовестных CA.
В случае с domain validation ssl sertificate цепочка у mitm никак не может быть valid.
Конечно может. При нормальном проксировании ты генерируешь на лету (при помощи приватного ключа от сертификата с правом подписи, добавленного на все клиенты в качестве доверенного) сертификат под каждый домен. Если ты используешь один сертификат под все домены, то ты некомпетентен и гнать тебя с работы нужно метлой.
Исходная версия Vovka-Korovka, :
Такое, что squid сертификатом не предназначенным для подписывания вполне подписывает
Т.е. сделать нормальный сертификат с правом подписи ты не осилил.
и в сентябре (когда я этим вопросом занимался) в файрфоксе такой бардак прокатывал.
Он не прокатывал. Firefox тебе честно показывал ошибку, но давал возможность отстрелить себе ногу.
Ну ругался он на неверный самоподписанный сертификат. Но, на сайт пускал. На ЛОР. Но, ЛОР не использует пининг. А на сайтах с пинингом не прокатывало. Больше мне сказать нечего. Как это связано с пинингом уж сам решай.
Ну и? Файрфокс все правильно делал - поскольку добавить подписывающий сертификат на клиенты ты поленился, то у него сработала pinning проверка, которая имеет очень высокий приоритет. И для этого случая файрфокс не дает стрелять себе в ногу.
Как это относится к моему высказыванию, с которым ты спорил - если добавить подписывающий сертификат (нормальные люди поставят там право подписи) в Хромиум как доверенный, то у него pinning проверка не сработает.
Я ниоткуда не возьму. Насчёт третьих лиц я уже не настолько уверен. Откуда мне знать, что какой-нибудь промежуточный удостоверяющий центр не является слишком любопытным.
Мы говорили не о CA. То что любой доверенный CA может выпустить сертификат под любой домен это понятно. Только с сайтами из пиннинг листа это все равно не сработает - он как раз и был создан, чтобы обезопаситься от недобросовестных CA.
В случае с domain validation ssl sertificate цепочка у mitm никак не может быть valid.
Конечно может. При нормальном проксировании ты генерируешь на лету (при помощи приватного ключа от сертификата с правом подписи, добавленного на все клиенты) сертификат под каждый домен. Если ты используешь один сертификат под все домены, то ты некомпетентен и гнать тебя с работы нужно метлой.