Ответы пользователя по тегу TLS
  • Как получить SSL-сертификат в России?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    DigiCert - никак.
    GlobalSign - идешь в поисковик, вбиваешь "ооо эмаро", находишь, связываешься, оформляешь заказ. Скорость работы с физиком не знаю, но с юриком - заказ на DV выполняется в течение получаса (оплатить можно потом). GS - это бельгийско-японская контора, которая почему-то не прекратила выдавать сертификаты, правда дорогая.
    (OV, как положено, будут проверять - это может быть несколько дней, 5 - 10, нужны будут уставные документы и человек с каким-никаким знанием английского - потому что обратный контрольный звонок придется принимать ему)
    Ответ написан
    Комментировать
  • Как в актуальной версии curl применить tls 1.0 (или как собрать старый curl для этого)?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    С openssl. Боюсь, что его просто выпилили оттуда. libcurl по-моему не содержит криптопримитивы - если их нет в openssl - то их нет.
    Ответ написан
  • Не могу настроить TLS шифрование на обратном прокси Squid. Что я делаю не так?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    У серверов общий корневой центр выдачи, но разные промежуточные центры выдачи сертификатов.

    Я бы начал с проверки валидности сертификатов в обеих системах - второго в первой, первого во второй. Это обычная ошибка при наличии двух выдающих субцентров - корневой в доверенных есть, а промежуточных - нет.
    Ответ написан
    Комментировать
  • Почему ругается на сертификат (mkcert)?

    CityCat4
    @CityCat4
    //COPY01 EXEC PGM=IEBGENER
    Потому что русским по черному написано - subjectAltName не содерждит "nginx.localhost", а видимо надо. Нужно добавить SAN и в SAN прописать DNS:nginx.localhost. Хотя можно наверное и в CN его попробовать пихнуть - непонятно, почему Вы CN не заполнили.
    Ответ написан
    Комментировать
  • Возможно ли настроить доверие для Сбербанк?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Глеб. елы-палы. Ты башкой своей пойми, что сертификаты для банков, херанков, еще чего - это только предлог. Тебе напомнить, как создавался РКН? Изначально там были заложены только цели защиты детей от изображений писек.

    Точно также будет и здесь - не поставишь сертификаты от Сбера - поставишь еще от чего-нибудь, не поставишь ни от чего - просто в тырнет не выйдешь. Провайдеру организовать дополнительную страницу, на которую нужно просто зайти (но для захода нужен российский сертификат) - да вообще делать нефиг.

    Если ты чего-то опасаешься - юзай виртуалку с российскими сертификатами.
    Ответ написан
    7 комментариев
  • Как попасть на CA/B Forum?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Глеб, даже если бы ты туда и попал - тебе там делать нечего. Сейчас только один CA выдает сертификаты для РФ и - ты разве не уловил тенденцию - на всех банковских вебмордах сейчас написано - "переходите на российские сертификаты". То есть в перспективе, доступ в тырнет будет только при их наличии, будем пользоваться госCA, на мировую структуру забьем (раз она на нас забила).
    На этом форуме сидят серьезные конторы, ты во сне столько бабок не видел...
    Ответ написан
    6 комментариев
  • Как безопасно подменить OpenVPN сервер?

    CityCat4
    @CityCat4 Куратор тега Информационная безопасность
    //COPY01 EXEC PGM=IEBGENER
    мне пришлось заменить файлы

    Ну разумеется. А иначе придется всем рассылать оповещения - чуваки, скачайте новый сертификат сервера и поменяйте у себя.
    ta.key не знаю зачем и dh.pem можно было бы и не менять - пусть новый инстанс сгенерит себе новую константу, а вот server.crt и server.key - правильно заменили. ca.crt - это просто файл корневых сертификатов
    Ответ написан
    Комментировать
  • Как именно выглядит ClientHello запрос в TLS?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Поставить wireshark и получить сколько угодно материала для анализа - это конечно нужно быть титаном мысли...
    Ответ написан
    Комментировать
  • Как выбрать центр сертификации?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Простой ответ - настроить и использовать собственный CA.

    Сложный ответ - мировые CA заточены под выпуск сертификатов совершенно определенных типов - с EKU ServerAuth (ну еще E-Mail Protection может быть). Если для Вашего mTLS этого достаточно - берите и выпускайте. Если нет - разворачивайте свой CA и устанавливайте в обеих точках сертификат корневого CA в доверенные - все равно ставите клиенту его сертификат.
    Что касается LE - он вообще генерит сертификаты только под ServerAuth и только на три месяца. Не для этого его пилили.
    Ответ написан
    Комментировать
  • Как выдать сертификат TLS для пользователя?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Сертификат - это набор информации, которая проверена и подтверждена выпускающим CA (или никем не подтверждена, если CA свой), зашифрована и подписана. И любое использование подразумевает просто сверку текущей информации с той, что хранится внутри сертификата.

    Наиболее часто проверяют CN - Сommon Name. Для серверов в это поле вписывают имя сервера, для почтовых сертификатов - обычно имя пользователя (его по идее можно проверять, но я так не делал).
    Менее часто проверяют Email. Для серверов в это поле вписывают адрес ответственного и оно информационное, для почтовых сертификатов - адрес электронной почты.

    Программным образом можно проверить любое, какое угодно поле, если таковое в сертификате присутствует (и факт присутствия тоже :) ) Существуют зиллионы шаблонов, в том числе и с полями по-русски, хотя я стараюсь этого избегать - неизвестно как софт отреагирует.
    Ответ написан
    Комментировать
  • Как пробросить шифрование данных клиента с одного сервера на другой?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Вам нужно, чтобы сервер каждый раз представлялся другим сертификатом? Ну так генерите его каждый раз - все равно самоподписанные используете.
    Ответ написан
  • Как получить валидный сертификат?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Создать - никак.

    Можно купить или получить бесплатно.

    Купить: Thawte, Comodo, GlobalSign
    Бесплатно: Let's Encrypt
    Ответ написан
    Комментировать
  • Как добавить в существующий сертификат LetsEncrypt поддомен через ACME?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    В существующем сертификате изменить информацию нельзя. При любых изменениях в сертификате он выпускается заново.
    Ответ написан
    Комментировать
  • Как получить корневой сертификат Let`s encrypt?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Любой нормальный CA раздает свои корневые сертификаты всеми возможными путями. Скорее всего его можно скачать прямо с сайта LE. Другой вопрос - как подсунуть корневой сертификат LE в список корневых там, где Вам надо.
    А вот с этим могут быть проблемы, вплоть до невозможности.
    Андроид:
    При помещении своих корневых сертификатов всегда будет желтый треугольник в трее с надписью "Вас подслушивают!". Вы думаете с просто так почтовые клиенты с поддержкой X.509 (например R2Mail2) имеютсобственную базу CA-сертификатов
    iOS:
    Насколько помню, добавление проходит без базара, но было давно, яббл я не люблю и запросто могу ошибаться
    WinMobile:
    Невозможно. То есть невозможно в принципе добавить свой сертификат в корневые. От слова совсем. В старых-старых виндофонах можно было самому свернуть "пакет обновления" для винды путем танцев с преогромным бубном, в последних никак.
    Для прохождения проверки валидности цепочка издателей должна быть прослежена до сертификата, который находится в хранилище доверенных корневых. Вопрос обычно в том, какое хранилище программа таковым считает и как в это хранилище добавить что-то.
    Ответ написан
  • Что может сделать злоумышленник, если ему в руки попал серверный SSL-сертификат?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Если в руки попал настоящий полноценный .p12 с известным паролем или даже незапароленные *.crt и *.key - можно выдавать себя за владельца сертификата и ни одна собака не докажет, что это не он.
    Но Вам в руки попало то, что раздается всем подряд совершенно бесплатно типа рекламной листовки - общий ключ (публичный сертификат) в формате DER. Key Usage практически значения не имеет, интересен мог быть Extended Key Usage - вот там обычно перечисляется его настоящая применимость.

    Так что Вы можете на него полюбоваться. И все :)
    Ответ написан
    Комментировать
  • Как обновить самоподписанный сертификат с истекшим сроком (SSL/TLS, для Postfix)?

    CityCat4
    @CityCat4 Куратор тега Цифровые сертификаты
    //COPY01 EXEC PGM=IEBGENER
    Сертификат нельзя переподписать, продлить или вообще поменять в нем что-либо - вся информация в нем неизменная. Если срок действия закончился - сертификат просто выпускается повторно, поскольку он самоподписанный - с этим никаких проблем быть не должно.
    Ответ написан
    Комментировать