Объясните про сертификаты

0

1

Объясните, пожалуйста, как положено организовывать работу с сертификатами в Линуксах?

Есть выданный недавно сертификат. Поставили его на сервер, открыли сайт в Хроме под оффтопиком — нормально. Открыли тот же сайт wget-ом под Ubuntu 16.04, получили ошибку:

$ wget https://server5.domain.ru:8002/doc
--2018-10-24 18:34:34--  https://server5.domain.ru:8002/doc
Resolving server5.domain.ru (server5.domain.ru)... 182.197.201.8
Connecting to server5.domain.ru (server5.domain.ru)|182.197.201.8|:8002... connected.
ERROR: cannot verify server5.domain.ru's certificate, issued by ‘CN=COMODO RS
A Domain Validation Secure Server CA,O=COMODO CA Limited,L=Salford,ST=Greater
 Manchester,C=GB’:
  Unable to locally verify the issuer's authority.

Вопрос: что сделать с Убунтой, чтобы она автоматически узнала про новые сертификаты? Вручную добавлять сертификат в /usr/local/share/ca-certificates и запускать update-ca-certificates не годится — как достигнуть того же автоматически?

Или проблема в том, что Дебиан перманентно считает Комодо не заслуживающим доверия?

Ответ: Нужно сложить все присланные Комодо сертификаты в один файл, как описано здесь: https://gist.github.com/bradmontgomery/6487319 , в том же порядке:

cat www_example_com.crt COMODORSADomainValidationSecureServerCA.crt  COMODORSAAddTrustCA.crt AddTrustExternalCARoot.crt > ssl-bundle.crt

и прописать его в настройках веб-сервера вместо www_example_com.crt (для Апача — SSLCertificateFile).

Ссылка

←	Netbsd domU низкая скорость сети в сравнении с linux domU

Openvpn с socks5/ssh tunnel на выходе (возможно ли?)

→

необходимо заплатить системному администратору

anonymous
(24.10.18 18:24:10 MSK)

Ссылка

COMODO

Зачем, если есть LE?

~~entefeed~~ ☆☆☆
(24.10.18 18:26:57 MSK)

Ответ на: комментарий от entefeed 24.10.18 18:26:57 MSK

Ле для локалхоста сертификаты не выдает.

anonymous
(24.10.18 18:28:31 MSK)

Ответ на: комментарий от anonymous 24.10.18 18:28:31 MSK

Для локалхоста можно вообще какие угодно сертификаты впердолить, хоть самоподписанные. Комодо нинужен.

~~entefeed~~ ☆☆☆
(24.10.18 18:30:46 MSK)

Ссылка

Ответ на: комментарий от entefeed 24.10.18 18:26:57 MSK

Может у него махровый интерпрайз с отбитыми безопасниками, которые ничего, кроме купленых сертов не дают ставить.

Deleted
(24.10.18 18:31:14 MSK)

В сертификате написан адрес сайта, этот адрес не локалхост. А вгетом ты ллокалхост открываешь.

anonymous
(24.10.18 18:31:27 MSK)

Ответ на: комментарий от anonymous 24.10.18 18:31:27 MSK

В сертификате написан адрес сайта, этот адрес не локалхост. А вгетом ты ллокалхост открываешь.

Спасибо, но с полным адресом та же ошибка. Поэтому привёл сообщение только для локалхоста.

Исправил стартовый пост.

olegd ★★★
(24.10.18 18:37:19 MSK) автор топика

Ссылка

Ответ на: комментарий от Deleted 24.10.18 18:31:14 MSK

Может у него махровый интерпрайз с отбитыми безопасниками, которые ничего, кроме купленых сертов не дают ставить.

Мотивация иная, но результат тот же — только купленные, и самые дешёвые.

olegd ★★★
(24.10.18 18:39:41 MSK) автор топика

Ссылка

Ответ на: комментарий от anonymous 24.10.18 18:28:31 MSK

Ле для локалхоста сертификаты не выдает.

Для внешнего имени результат тот же.

olegd ★★★
(24.10.18 18:40:26 MSK) автор топика

Ответ на: комментарий от olegd 24.10.18 18:40:26 MSK

Тебе надо собрать ~~матрешку~~ бандл из твоего серта, и промежуточных, где-то на сайте комоды был мануал.

Deleted
(24.10.18 18:47:40 MSK)

Ответ на: комментарий от olegd 24.10.18 18:40:26 MSK

С LE проблемы нет раз сертификат выдается всё равно для инторнетов.

mandala ★★★★★
(24.10.18 18:54:36 MSK)

Ссылка

У меня одного в похожих темах WGet ругается на сертификат, а браузер нет ?

anonymous
(24.10.18 19:42:15 MSK)

Ответ на: комментарий от Deleted 24.10.18 18:47:40 MSK

Тебе надо собрать матрешку бандл из твоего серта, и промежуточных, где-то на сайте комоды был мануал.

Как здесь? https://bugs.debian.org/cgi-bin/bugreport.cgi?bug=742810 https://gist.github.com/bradmontgomery/6487319 WGet ругается на сертификат, а браузер нет ?

За 4 года так ничего и не сделали? Дебиан забанил Комодо?

olegd ★★★
(24.10.18 19:52:54 MSK) автор топика

Ответ на: комментарий от anonymous 24.10.18 19:42:15 MSK

WGet ругается на сертификат, а браузер нет

Спасибо. Так за 4 года ничего и не изменилось?

olegd ★★★
(24.10.18 19:53:21 MSK) автор топика

Ссылка

Ответ на: комментарий от olegd 24.10.18 19:52:54 MSK

За 4 года так ничего и не сделали?

А что, по-твоему, должны были сделать? Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование. В том, что с сайтом, который этого не делает, будут проблемы, виноват только администратор сайта.

gasinvein ★★★
(24.10.18 20:02:26 MSK)

Ответ на: комментарий от gasinvein 24.10.18 20:02:26 MSK

Отправлять полную цепочку сертификатов - это норма, и в некоторых случаях требование.

Можно поподробнее? Что мой сайт делает неправильно? Почему это специфично для Дебиана?

olegd ★★★
(24.10.18 20:04:14 MSK) автор топика

Ответ на: комментарий от olegd 24.10.18 20:04:14 MSK

Это не специфично для дебиана. Твой сайт сервер должен отправлять все сертификаты, от конечного до корневого, в бандле, а не только конечный.

Сходи на https://www.ssllabs.com/ssltest и посмотри подробнее, что не так.

gasinvein ★★★
(24.10.18 20:05:25 MSK)
Последнее исправление: gasinvein 24.10.18 20:06:29 MSK (всего исправлений: 1)

Ответ на: комментарий от gasinvein 24.10.18 20:05:25 MSK

Браузер доверяет только локальным корневым сертификатам. Вкладывать корневой сертификат в цепочку - лишний трафик на каждый TLS-хендшейк, в цепочке достаточно сертификата домена и всех промежуточных сертификатов между этим сертификатом и корневым.

feanor ★★★
(25.10.18 08:00:59 MSK)

У убунты сертификаты протухшие и не знают о этой цепочке комодовской. Вкатай свежий мозилловский бандл и будет норм.

Dark_SavanT ★★★★★
(25.10.18 09:34:58 MSK)

Ответ на: комментарий от Dark_SavanT 25.10.18 09:34:58 MSK

Вкатай свежий мозилловский бандл и будет норм.

Куда вкатать? На клиент, или на сервер? На клиент нельзя.

olegd ★★★
(25.10.18 13:26:27 MSK) автор топика

Ответ на: комментарий от feanor 25.10.18 08:00:59 MSK

Один сертификат — 2400 байт, весь бандл — 8000 байт. Неприятно, но не страшно.

olegd ★★★
(25.10.18 14:32:29 MSK) автор топика

Ссылка

Ответ на: комментарий от gasinvein 24.10.18 20:05:25 MSK

Сходи на https://www.ssllabs.com/ssltest и посмотри подробнее, что не так.

Спасибо, нашёл дыру в сайте головного офиса. Обрадую их :)

olegd ★★★
(25.10.18 14:33:19 MSK) автор топика

Ссылка

Ответ на: комментарий от olegd 25.10.18 13:26:27 MSK

На клиент, либо подбирать сертификат у выдающих который будет биться локальным бандлом.

Либо использовать curl. Ему можно бандл подсунуть параметром.

Dark_SavanT ★★★★★
(25.10.18 15:41:32 MSK)

Ответ на: комментарий от entefeed 24.10.18 18:26:57 MSK

дык, коммерсы платят за сертификаты и это нормально. а LE - это для мелких частных серверов самое то. и сертификаты там надо постоянно апдейтить.

другое дело, что коммерсы разные бывают. давеча тут зашла на сайт одной крупной официальной организации (не буду её тут пиарить), которая принимала оплату безналом (со всеми реквизитами карт и т.д.) в plain http. и https там вообще отсутствовал. ваще красота. прямыми ссылками качаются скрипты, отправляются данные. ну, написала я им письмо. правда, ответа не последовало. не знаю, поняли ли они меня вообще или нет.

Iron_Bug ★★★★★
(25.10.18 15:51:28 MSK)
Последнее исправление: Iron_Bug 25.10.18 15:52:07 MSK (всего исправлений: 1)

Ответ на: комментарий от Iron_Bug 25.10.18 15:51:28 MSK

Ты меня преследуешь?

~~entefeed~~ ☆☆☆
(25.10.18 15:54:21 MSK)

Ответ на: комментарий от entefeed 25.10.18 15:54:21 MSK

нет. а что? просто читаю темы в трекере и комменты к ним.

Iron_Bug ★★★★★
(25.10.18 15:56:25 MSK)

Ссылка

Ответ на: комментарий от Dark_SavanT 25.10.18 15:41:32 MSK

Цель была в том, чтобы на всех клиентах работало без каких-либо дополнительных действий со стороны пользователей. Объединение сертификатов в одном файле это обеспечило.

olegd ★★★
(25.10.18 16:17:03 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Netbsd domU низкая скорость сети в сравнении с linux domU

Admin

Openvpn с socks5/ssh tunnel на выходе (возможно ли?)

→

Похожие темы