Хочу опубликовать закрытый ключ SSL сертификата от тестового домена для тестовых целей. Хорошая ли это идея?

Question

[capslocky]

Сейчас для локального тестирования веб-приложения под https я использую SSL сертификат от домена, которым владею. Запрос на 127.0.0.1 направляю через hosts. Хочу аналогичный прием использовать в своем open-source проекте. Для этого я хочу купить отдельный домен, получить на него бесплатный SSL сертификат от Let's Encrypt и разместить весь сертификат (вместе с закрытым ключом) публично.

Тогда любой желающий сможет его установить локально и сразу получить зеленый https в любом браузере, не мучаясь с самоподписанным сертификатом. Например, это будет домен https://my-test-https.com , опубликую ключ прямо на нем в различных форматах, а хостинг возьму от GitHub Pages.

Хорошая ли это идея?
Не нарушает ли это каких-либо правил издателя сертификата?

Comments

[Александр Таратин]

А в чем тогда сакральный смысл делать https вообще?

[3vi1_0n3]

Идея так себе. Let's Encrypt выдает сертификат на 90 дней, то есть, все равно какие-то манипуляции нужны будут регулярно. Проще сделать самоподписанный сертификат на 10 лет и прописать его с системе как доверенный один раз.

Answer 1

[CityCat4]

Не понял - зачем все это. Lets дает сертификат на 90 дней. Самый заурядный, без DV/EV. Для тестирования ровно точно также подходит любой самодельный сертификат - там не нужно никуда идти, ничего качать, а минимальные знания о сертификатах в любом случае понадобятся.

Comments

[capslocky]

Я использовал самодельный SSL сертификат, сгенерировать его легко, а вот сделать так, чтобы браузеры на него не ругались, уже не так просто.

[CityCat4]

capslocky, разумеется, но ключ от Lets Вам ничем не поможет. SSL-сертификаты - это огромный бизнес.

[capslocky]

CityCat4, я просто хочу дать людям один настоящий SSL ключ от фиксированного домена для локального тестирования. Хорошая идея? Кажется, я не затрагиваю ничьи интересы.

[CityCat4]

capslocky, И будете каждые 90 дней его менять?

[capslocky]

CityCat4, это как один из вариантов. Если будет популярно, то куплю и опубликую платный SSL сертификат на 12 месяцев. Можно еще организовать сбор средств на wildcard.

[CityCat4]

capslocky, Мне кажется этого делать не стоит - CA его тут же отзовет.

[capslocky]

CityCat4, тогда наверное стоит заранее договориться с CA, что выпущенный ключ будет публично опубликован, и это нужно для облегчения тестирования https в локальных окружениях. Объяснить, что это просто нестандартное использование ключа, и это никак не влият на спрос на сертификаты. Можно даже пойти на обоюдовыгодную сделку: я размещаю рекламу CA, а он мне делает скидку. Ведь на самом деле выигрывают все?

[CityCat4]

capslocky, Ха-ха, два раза. Вы, уважаемый, случайно не Дерипаска? Или может быть Олег Николаевич Тинькофф? Ну или там Киркоров, на худой конец... СA - это гигантский, невероятно прибыльный бизнес, практически игровые автоматы, потому что продают они ... доверие. Выпуская сертификат, они гарантируют своим авторитетом тот факт, что данный сертификат принадлежит тому, кто его использует и больше никому. Главное здесь - это авторитет СA, доверие пользователей к нему. Конкуренция очень жесткая, StarlSSL прокосячил - и тут же вылетел из списка корневых у гугла, FF и яббла - а это значит, что все выданные им сертификаты враз стали недоверенными.
Ни один вменяемый CA даже слушать Вас не станет - потому что вот этот бред, который канает для бесплатного LE, там где начинаются деньги, закончится тут же.

[capslocky]

CityCat4, я рад, что у нас такая интересная дискуссия! И я теперь не так уверен, что моя необычная идея найдет всеобщее понимание. У меня немного другое представление о принципе доверия к CA. Как известно, SSL сертификаты решают следующие три основные проблемы: 1) Защита трафика от подсмотра 2) Защита трафика от модификаций 3) Гарантия браузеру, что данный хостинг сервер (IP адрес) действительно используется владельцем доменного имени.

То есть задача любого CA это гарантировать, что только настоящий владелец доменного имени может получить их SSL сертификат на данный домен. А издатели браузеров полагаются, что все включенные в их браузер CA выполняет эту функцию безупречно.

И учитывая, что трафик на мой сайт не будет содержать никакой конфедициальной информации, не имеет значения сколько людей будут владеть его ключом - или только я, или 10 моих друзей или 10 тысяч незнакомцев, это никак не подрывает обозначенное доверие к CA. Логично?

[CityCat4]

1) Защита трафика от подсмотра 2) Защита трафика от модификаций

Это верно

3) Гарантия браузеру, что данный хостинг сервер (IP адрес) действительно используется владельцем доменного имени.

Это нет. В корне. СA гарантирует своим авторитетом, что данный сертификат принадлежит тому же человеку/организации, что и сервер, на котором он установлен. То есть, сертификат на доменное имя vasya-pupkin.com получит Вася Пупкин, при условии, что он докажет право администрирования сайта vasya-pupkin.com (опустим организации, там механизм "доказать, что ты - это ты" куда сложнее). Поскольку может существовать один-единственный vasya-pupkin.com (ну в общей сети, Интранет опять же не рассматриваем) получается однозначное соответствие "если на сайте vasya-pupkin.com стоит сертификат выпущенный допустим конторой "Pertov, Vasechkin and Co.", то указанные Петров, Васечкин и компания гарантируют, что сайт принадлежит Васе Пупкину (а не Саре Абрамовне Левенштейн, маскирующейся под него)". Однозначное, понимаете? Сайт vasya-pupkin.com принадлежит тому, кто прописан в CN сертификата - это гарантируется авторитетом CA. Именно это, собственно и покупают люди/организации - факт, что толстая и уважаемая контора подтвердит, что "этот сайт - наш". А не подделка.
Если десять тысяч людей ставят себе одинаковый сертификат и появляются десять тысяч сайтов vasya-pupkin.com (а поставить другое имя нельзя - оно прописано в сертификате) - какой из них настоящий?
Да, я понимаю, бывают случаи утечки ключа - но это именно утечки, с которыми борются и по возможности сообщают в CA, который ключ отзывает и выпускает новый.
Впрочем, единственно главным будет мнение CA на этот счет.

[capslocky]

Тут Вы не правы, владелец домена vasya-pupkin.com укажет IP адрес своего хостинг сервера, и будет только один настоящий сайт vasya-pupkin.com. Никто в мире больше не сможет захостить этот сайт в интернете, только у себя в локальном окружении. Добавлю, что этот сайт также будет удобно использовать для демонстрации MITM, чтобы показать всем, как важно скрывать приватные ключи.

[CityCat4]

capslocky, Ну, тут главное Вам будет убедить CA, если у него возникнут вопросы. Не возникнут - да и фиг с ним :) Насчет MiTM - согласен.

[capslocky]

CityCat4, большое спасибо за дискуссию! Теперь я знаю, что мне нужно делать. Подходящее доменное имя я купил, теперь моя задача убедить CA, что идея адекватная.

[CityCat4]

capslocky, Удачи :)

Кстати, vasya-pupkin.com не существует, а вот vasya-pupkin.ru - вполне себе открывается :)

Answer 2

[Dimonchik]

зеленый lets не бывает )) только за денежку

большую такую денежку

Comments

[capslocky]

Я имею в виду самый обычный SSL сертификат, не Extended Validation.

Answer 3

[capslocky]

Также предлагайте свои варианты имени домена. Сертификат будет использоваться не только на локальной машине, но и для тестирования веб-приложений по локальной сети, так что нужен универсальный вариант.

Созданный сайт опубликую здесь в виде ответа.