Ответы пользователя по тегу Цифровые сертификаты
  • Как выпустить сертификат для устройства через центр сертификации windows?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Сначала нужно определиться, какой шаблон сертификата будете использовать. По умолчанию их немного, возможно пригодится шаблон Web Server

    1. Создать запрос на сертификат (CSR). Если сам зухель не позволяет это сделать, используйте сторонний софт, УЦ винды позволяет создать CSR на очень узкий ранг обьектов. CSR можно сгенерить через openssl, который работает в том числе и в винде. Есть и виндовые гуевые генераторы, например Crypto4PKI.
    2. Полученный запрос - а это текстовый файл - передать в виндовый УЦ. Как передать? Я обычно захожу на веб-морду УЦ, выбираю. пункт Request certificate, потом Advanced certificate request, в окно формы вставляю текст CSR, ниже выбираю шаблон.
    3. Открыть оснастку сертификатов и загрузить полученный сертификат или же скачать его через веб-морду. Сертификат на устройство обычно не требует подтверждения администратора УЦ.

    Дальше зависит от того, что принимает зухель. Если отдельно сертификат и ключ - даете ему сертификат и ключ. Если PKCS#12, то через тот же Crypto4PKI или openssl пакуете сертификат, ключ и сертификат Вашего УЦ в PKCS#12 и даете зухелю.
    Ответ написан
  • Как мне сделать чтоб я мог подписывать ssl сертификаты и выпускать их?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Развернуть Удостоверяющий Центр и выпускать. Но:
    - Ваши сертификаты не будут доверенными нигде, кроме тех мест, где Ваш же корневой сертификат установлен в качестве доверенного
    - В некоторые места собственные корневые сертификаты установить невозможно - например Windows Phone, в некоторые можно, но при этом тебя постоянно анонят - Android
    - Кроме сертификатов может понадобится публичный сайт с постоянно обновляемым CRL
    Ответ написан
    Комментировать
  • Свои сертификаты SSL безопаснее, чем купленные?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Внимание! Изменился адрес почты!
    Сертификат - это не магическая кнопка, делающая все вокруг безопасным, а просто инструмент. Ну допустим нож. Вы можете сделать его сами, а можете купить у известной конторы. Но он не перестанет быть просто ножом и, если не уметь им пользоваться, толку от него не будет. Собственный УЦ - это бесплатно. И, как правило, все приходят к этому, когда число сертификатов растет, а число корреспондентов ограничено. Они просто ставят Ваш корневой сертификат - и вуаля.
    Ответ написан
    Комментировать
  • Как выборочно включить выбор шифрования клиентом для отдельных серверов?

    CityCat4
    @CityCat4 Автор вопроса, куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Итак, судя по тому, что никто не ответил - никто не знает. Значит отвечаю сам себе - вдруг кому понадобится.

    Итак, такой функционал есть. Но есть он только в sendmail 8.15.2, и то при ее отдельной пересборке с параметром _FFR_TLS_SE_OPTS_.

    Пересборку пока сделал только на FreeBSD (по старой памяти :) ) - в порту mail/sendmail файл files/site.config.m4.tls, первую строку привести к вот такому виду
    APPENDDEF(`conf_sendmail_ENVDEF', `-DSTARTTLS -D_FFR_TLS_EC -D_FFR_TLS_SE_OPTS')

    и пересобрать, выполнив потом все рекомендации по установке. Для настройки используется файл /etc/mail/access, где прописывается
    TLS_Clt_features:server.net       CipherList=kEECDH+AES:kEDH+AES:kRSA+AES:DES-CBC3-SHA:!aNULL:!DSS:!SSLv2;

    И все соединения с server.net будут использовать шифр DES-CBC3-SHA, даже если он отсутствует в глобальном CipherList. Также здесь можно прописывать опции SSL, все это изложено в README.

    О сборке в центосе допишу отдельно.
    Ответ написан
  • Можно ли использовать SSL сертификат основного домена для поддоменов на стороннем сервере?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    1. Только, если это оговорено заранее. Такие сертификаты называются wildcard. Но следует иметь в виду, что wildcard-сертификат не распространяется на корневой домен. То есть сертификат, выданный на *.server.net, для самого server.net - не подойдет.
    2. Если сертификат физически на другом сервере - нет.
    3. Если каждый поддомен на отдельном сервере - нужно получать по сертификату на каждый поддомен
    4. Очень сильно зависит от того, сертификат с какой проверкой запросите. Если с минимальной - там хоть кто может его получить. Если с подтверждением - то такой сертификат лучше получать самому заказчику.
    Ответ написан
    Комментировать
  • Как сервер может определить бота?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Какие угодно. Клиент может передавать какую-нибудь "магическую последовательность" - ключ, по которому определяется "свой-чужой". Если обмен зашифрован - бесполезняк. Если есть расшифрованный оригинальный обмен - садиться и по пакетам разбирать, что и для чего передается.
    Ответ написан
  • Почему при установке ssl сертификата не показывается возле адреса зеленый замочек?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Потому что сайт частично https, частично http. О чем Firefox например честно предупреждает, когда на него заходишь.
    Ответ написан
    Комментировать
  • Как проверить наличие SSL сертификата?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Его "вытягивать" не надо - сертификат передается с каждым соединением, если это https, конечно.
    Ответ написан
    Комментировать
  • Контора подменяет сертификат mail.ru?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Я Вас разочарую - админы могут читать Вашу переписку на mail.ru и без подмены сертификата :) Даже если Вы не видите на рабочем компе агента СМП - это вовсе не значит, что его там нет :)
    Ответ написан
    6 комментариев
  • В чем ошибка при подключении сертификата при оплате?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Банк сказал неправду. Любой сертификат не годится. Годится только выданный Вам. Или самоподписанный, но ему верить никто не будет.
    Ответ написан
    Комментировать
  • Как безопасно хранить SSL сертификаты в Linux?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Зашифрованный key-файл - паранойя и лишние трудности. В CentOS оно хранится в /etc/pki/tls/private. Права на каталог 0700, на все ключи - 0400. Если Вы не полагаетесь на права, значит предполагаете, что Вас хакнули на уровне ядра. Если это на самом деле так - тут бесполезно все. Поэтому храните в расшифрованном виде там где по layout-у они должны лежать с правами 0400 на файлы и 0700 на каталог - и не заморачивайтесь.
    Ответ написан
    Комментировать
  • Как создать безопасный сайт для платежных систем?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Сертификат однозначно, причем не по упрощенной защите, а по стандартной и не у StartSSL или WoSign, а у приличного УЦ. Ну, это конечно если не пофиг репутация.
    Ответ написан
  • Как установить SSL сертификат от WoSign на сервер LiteSpeed (ihc.ru)?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Это нормальное значение для поля "Использование ключа". Смотреть нужно "расширенное использование ключа". И то, что говорит что получен из недоверенных источников - тоже совершенно правильно - он получен именно из недоверенных источников.
    Ответ написан
  • Где Vesta хранит публичный ключ (.pub файл) ssl сертификата?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Публичный ключ не обязательно должен иметь расширение .pub. Это досовское зло - считать, что тип файла зависит от расширения. Сертификат состоит из двух файлов - ключа сертификата, который обычно имеет расширение .key, но может иметь любое другое или не иметь никакого вообще и собственно сертфиката, называемого еще публичным ключом. Вот он как раз и хранится в файле .crt. А в файле .pem скорее всего лежит тот же сертификат, только кроме кодированной части там приведена еще и "human-readable", то есть читаемая человеком. Переименовываете .crt или .pem в .pub - и будет Вам счастье.
    Ответ написан
    Комментировать
  • Как узнать какой вид сертификата используется (wildcard, standart)?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Что значит "проверить" и почему только эмпирическим? Сертификат отдается практически с каждым запросом, его нужно просто посмотреть :)
    Ответ написан
    Комментировать
  • Как создать SSL сертификат из текста в формате .pem?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Вырезаете из письма текст от BEGIN CERTIFICATE до END CERTIFICATE и сохраняете в файл с расширением .pem. Все.
    Ответ написан
  • Откуда взялся https?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Поскольку наличие хоть какого-нибудь сертификата является обязательным условием для работы https, то в случае, если нет ни купленого ни бесплатного сертификата обычно генерируется так называемый "самоподписанный" сертификат. Разумеется к нему никакого доверия нет, никакое проверки он не проходит - но он есть. Его можно вручную добавить в доверенные - и тогда в следующий раз алерта не будет.
    Ответ написан
    Комментировать
  • Ребят а можно ли вытищить сертификат с чужого сайта и поставть его себе на сайт?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    Внимание! Изменился адрес почты!
    1. Можно. Имея админские права на том сайте :)
    2. Домену или группе доменов. Или человеку. Или устройству. Сертификат - это некий электронный документ, который подтверждает некую информацию авторитетом организации, его выдавшей. Именно поэтому многие косятся на бесплатные сертификаты. С IP-адресов сертификат никак не связан.
    Ответ написан
    1 комментарий
  • Создал самоподписанный сертификат, но не получил https?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Здесь не один вопрос, а целых...три
    1. Зачем мне https
    2. Почему самоподписанный сертификат небезопасен
    3. Чем отличается самоподписанный сертификат от выданного доверенной организацией
    Итак.
    1. https, нужны только для того, чтобы хром не зажигал красный флажок (последние версии уже начали маркировать такие сайты) - это что-то типа установки Windows 10 pre-alpha - круто, потому что новое. Если шифровать нечего - не шифруйте и пофиг на флажок. Если сайт продающий и пофиг быть не может - убейте жабу и купите сертификат от УЦ. Влезть на елку и не поцарапать попу не получится
    2. Самоподписанный сертификат небезопасен потому что никто не гарантирует правдивость данных, которые в нем. Это все равно что взять бумажку и написать на ней "Паспорт" - написать никто не мешает. Верить никто не будет. Чтобы такому сертификату начали верить, он должен быть добавлен в хранилище корневых сертификатов - причем на всех компьютерах, которые будут на него заходить. Вот поэтому, если сайт продающий и Вы даже о флажке так печетесь - как будете обьяснять юзеру, чтобы он скачал себе Ваш сертификат и добавил его в корневые? Тем более, что например на Windows Mobile это сделать в принципе нельзя (на нерутованной)
    3. Сертификат выданный доверенной организацией отличается тем, что сертификат самой организации уже добавлен во все хранилища всех браузеров - и все сертификаты, выданные ею, считаются доверенными. В этом и заключается опасность бесплатных раздатчиков сертификатов - из сертификата может либо не оказаться, либо он будет "подозрительным". Еще раз - если сайт продающий - убейте жабу и купите нормальный сертификат от нормального УЦ. Экономия на бесплатных сертификатах может выйти боком.
    Ответ написан
  • Должен ли так работать ssl?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    Внимание! Изменился адрес почты!
    Ишак честно говорит, что отображает только безопасное содержимое. Значит на сайте есть элементы, которые загружаются по http и элементы, которые загружаются по https
    Ответ написан