Задать вопрос
Riateche
@Riateche

Как повысить безопасность https при использовании самоподписанного ssl-сертификата?

У меня на сайте настроен https с использованием самоподписанного wildcard сертификата (купить хороший wildcard сертификат можно только за большие деньги). Браузеры пользователей, конечно, ругаются, но это не очень большая проблема для меня. Насколько я понимаю, при использовании самоподписанного сертификата остается одна уязвимость — возможность, что man in the middle переадресует пользователя на свой сайт. Его сертификат тоже будет недоверенным, но пользователь может этого не заметить, так как ругаться браузер будет так же, как и на мой. Как можно обезопасить пользователя в этой ситуации?


У меня есть пока две идеи.


1. Пользователь добавляет мой сертификат в доверенные, и в дальнейшем его браузер не ругается на него, а ругается только на незнакомые сертификаты. Во всех ли браузерах есть простой способ добавить сертификат в доверенные? Снижает ли это безопасность? Насколько я понимаю, если добавить сертификат как корневой, я потом смогу выдать себе сертификат хоть на google.com, т.е. это небезопасно для пользователей. Надо избежать такой возможности.


Где выкладывать сертификат для скачивания, чтобы можно было избежать его подмены? Нужно, чтобы там был https и там было сложно подменить файл.


2. Я выкладываю отпечаток sha-1, по которому пользователь сможет проверить подлинность сертификата. Так вообще можно делать? Разумно ли это?
  • Вопрос задан
  • 4001 просмотр
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
okazymyrov
@okazymyrov
>> Где выкладывать сертификат для скачивания, чтобы можно было избежать его подмены? Нужно, чтобы там был https и там было сложно подменить файл.

В Сhrom-e можно просмотреть сертификат и экспортировать его. Я думаю, что достаточно будет написать мануал, как его скачать к себе на компьютер и добавить в доверенные.
Ответ написан
Комментировать
@Masterkey
Читаем хабру!
habrahabr.ru/blogs/sysadm/127643/

1. Да снижает безопасность — он точно не знает чей он сертификат добавил.
В броузерной четверке да, все быстро
У броузеров нет такой возможности как добавить ваш сертификат как корневой.

Нет такой возможности

2. В сертификате уже есть все эти отпечатки и кроме того sha-1 скомпроментирован.
Можно, но это глкпо
Ответ написан
Комментировать
xaker1
@xaker1
1) Можно, но не везде тривиально.
Safari, Chrom (вроде бы последние версии Firefox тоже) используют хранилище IE. У остальных браузеров — свои. В каких-то браузерах достаточно поставить галочку при уведомлении, в каких-то сложнее.

В общем-то, выход есть — и его назвали в предыдущем топике. Это StartSSL, про который я и писал.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы