Как заставить клиента работать с HTTPS без импорта нашего сертификата?

Question

[Андрей Гриневич]

Доброго времени суток.
На днях ставил эксперементы с генерацией самоподписанных ssl сертификатов.
Тут шикарно расписан этот момент.
Возник вопрос, если я не хочу (не имею) возможности проимпортировать Trusted CA в браузер/рутовые сертификаты на клиентской машине, какие есть пути заставить клиент выкачивать/доверять серверу без ручного импорта сертов?

Answer 1

[CityCat4]

Нет.

Схема проверки доверия очень проста - клиент проверяет издателя сертификата. Если сертификат издателя есть в его базе корневых сертификатов и отмечен, как доверенный (например Mozilla требует отдельной отметки), то он доверяет этому сертификату, если нет - не доверяет.

Самоподписанному будет доверять только после ручного занесения в базу браузера.

Comments

[Андрей Гриневич]

Хм, хорошо. Значит чтобы избежать ручного добавления, нужно обращаться к различным сервисам-регистратором, которые будут выступать промежуточным звеном в цепочке root -> <регистратор> -> наш сертификат?
Достаточно будет ли просто добавить у себя на серверах полученные от регистратора сертификаты/ключи, добавить их в конфигурации (например NGINX) или потребуются ещё какие-то действия?

[CityCat4]

Андрей Гриневич: Нет. Браузер всегда прослеживает всю цепочку подписей сертификата до первого самоподписанного, то есть до того, который не сылается на другие сертификаты. Далее браузер считает его сертификатом СА, выдавшего проверяемый сертификат (даже если это один и тот же) и ищет его в базе доверенных корневых сертификатов. Если этого сертификата там нет - сертификат не доверен. В процессе валидации сертификата браузер не обращается никуда, разве только за проверкой отозванности сертификата по ссылке на CRL, встроенную в сертификат.
Корневые сертификаты Thawte, Comodo и пр. - они тоже самоподписанные :) Только они уже изначально присутствуют в базе доверенных сертификатов. И как правило весь дэнс вокруг этого "добавления по умолчанию" и возникает.