Задать вопрос
Riateche
@Riateche
цифровые-сертификаты

Как повысить безопасность https при использовании самоподписанного ssl-сертификата?

У меня на сайте настроен https с использованием самоподписанного wildcard сертификата (купить хороший wildcard сертификат можно только за большие деньги). Браузеры пользователей, конечно, ругаются, но это не очень большая проблема для меня. Насколько я понимаю, при использовании самоподписанного сертификата остается одна уязвимость — возможность, что man in the middle переадресует пользователя на свой сайт. Его сертификат тоже будет недоверенным, но пользователь может этого не заметить, так как ругаться браузер будет так же, как и на мой. Как можно обезопасить пользователя в этой ситуации?


У меня есть пока две идеи.


1. Пользователь добавляет мой сертификат в доверенные, и в дальнейшем его браузер не ругается на него, а ругается только на незнакомые сертификаты. Во всех ли браузерах есть простой способ добавить сертификат в доверенные? Снижает ли это безопасность? Насколько я понимаю, если добавить сертификат как корневой, я потом смогу выдать себе сертификат хоть на google.com, т.е. это небезопасно для пользователей. Надо избежать такой возможности.


Где выкладывать сертификат для скачивания, чтобы можно было избежать его подмены? Нужно, чтобы там был https и там было сложно подменить файл.


2. Я выкладываю отпечаток sha-1, по которому пользователь сможет проверить подлинность сертификата. Так вообще можно делать? Разумно ли это?
  • Вопрос задан
  • 3992 просмотра
Комментировать
Подписаться 3 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
okazymyrov
@okazymyrov
>> Где выкладывать сертификат для скачивания, чтобы можно было избежать его подмены? Нужно, чтобы там был https и там было сложно подменить файл.

В Сhrom-e можно просмотреть сертификат и экспортировать его. Я думаю, что достаточно будет написать мануал, как его скачать к себе на компьютер и добавить в доверенные.
Ответ написан
Комментировать
Комментировать
@Masterkey
Читаем хабру!
habrahabr.ru/blogs/sysadm/127643/

1. Да снижает безопасность — он точно не знает чей он сертификат добавил.
В броузерной четверке да, все быстро
У броузеров нет такой возможности как добавить ваш сертификат как корневой.

Нет такой возможности

2. В сертификате уже есть все эти отпечатки и кроме того sha-1 скомпроментирован.
Можно, но это глкпо
Ответ написан
Комментировать
Комментировать
xaker1
@xaker1
1) Можно, но не везде тривиально.
Safari, Chrom (вроде бы последние версии Firefox тоже) используют хранилище IE. У остальных браузеров — свои. В каких-то браузерах достаточно поставить галочку при уведомлении, в каких-то сложнее.

В общем-то, выход есть — и его назвали в предыдущем топике. Это StartSSL, про который я и писал.
Ответ написан
3 комментария
3 комментария
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Администратор PostgreSQL
Гринатом
До 200 000 ₽
Python developer (Senior)
.White Code Санкт-Петербург
от 360 000 до 480 000 ₽
Flutter-разработчик (Middle/Middle+)
Студворк
от 200 000 до 250 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Разработка overlay-приложения для Android
26 апр. 2024, в 12:40
150000 руб./за проект
Небольшое приложение реакт. Корзина для интернет магазина
26 апр. 2024, в 12:34
5000 руб./за проект
Разработка AR приложения для наложения ресниц (прикреплено ТЗ)
26 апр. 2024, в 12:28
1500 руб./в час
Ещё заказы