Ответы пользователя по тегу Цифровые сертификаты
  • Переадресация. Если сайт может открыть https то откроет а если не может то останется на http. Как это можно сделать?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Никак. Это открытая дверь на атаку на понижение (описание есть скажем тут https://www.ssldragon.com/ru/blog/what-is-downgrad... ), причем сразу наглухо. Плюс, найдите сейчас браузер, который не умеет в HTTPS. Разве что вы пилите какое-то легаси а-ля windows 95 update, под четвертый ИЕ, но здесь проще - не настраивайте HTTPS вообще, так как ваши клиенты это как раз те, кто HTTPS не умеет.
    Ответ написан
  • Как устранить ошибку сертификата после редиректа на новый домен?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Вам надо на своем узле раздавать два сайта: старый_домен.ru и новый_домен.ru, у каждого сайта свой сертификат. На старом отдаете 301, на новом отдаете контент.
    Ответ написан
    2 комментария
  • Зачем нужны корневые сертификаты?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Ну начнем с того, что корневых сертификатов приличное множество. Не один, и не один десяток даже. Пример:
    624e91669b7e4193133731.png
    64 штуки. И сертификат, подписанный любым из них, система считает доверенным. Это, собственно, и причина, почему боятся получить дополнительный корневой сертификат - заранее не знаешь, у кого есть возможность подписи с его помощью, и отличить сертификат, подписанный новым добавленным корневым (транзитивно или нет), можно только после того, как ты его получишь, при этом большинство программ не позволяют пользователю заблокировать соединение, установленное с использованием доверенного сертификата. То есть, вначале тебя с ним поимеют, потом тебе вычищать последствия.
    Fiddler точно так же устанавливает свежесозданный (это важно, новая пара ключей, которых ни у кого нет) корневой сертификат тебе в доверенные корни, и использует его, чтобы на лету генерировать сертификаты для каждого сайта, куда ты ломишься, подсовывая их браузеру, чтобы тот не вякал, а сам выполняя роль man-in-the-middle.
    Вопрос доверия имеющимся "корням" остается на совести администратора системы (то есть вас), при этом по сети могут прилетать обновления списка корневых сертификатов, после которых опять нужно проверять хранилище на случай появления нежелательных для вас корневых сертификатов.
    Ответ написан
    1 комментарий
  • Недоверие сертификату let`s encrypt?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Сайт (TLS-сервер в общем случае) должен сам предоставлять полную цепь сертификатов, подтверждающих его собственный, исключая сертификат корневого ЦС, который в нормальном состоянии находится в хранилище доверенных на клиенте. Так что да, нужно отдавать помимо cert.pem ещё и fullchain.pem. Причина в том, что клиент в норме не должен знать обо всей инфраструктуре PKI каждого ЦС, чей корневой сертификат он хранит, так как она в общем случае динамическая, и подчиненные сертификаты все равно перевыпускаются раз в 1-5 лет (LE с его трехмесячными сертификатами может и менять subCA раз в год), поэтому клиенту негде взять всю цепь сертификатов. Поэтому самое логичное решение - хранить её на сервере, так как он тоже должен знать, кто ему серт подписал, и с сервера же раздавать по мере необходимости.
    Ответ написан
    2 комментария
  • Как привязать свой домен к Gitlab pages. Сертификат Cloudflare. Выдает ошибку "Certificate misses intermediates". Как решить?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    С сертификатом должен было прийти ещё PEM с сертификатами вышестоящих ЦС, его надо вместе со своим *.pem подсовывать.
    Ответ написан
    5 комментариев
  • Чего не хватает для SSLv3_method?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Вероятно, современные версии OpenSSL компилируются вообще без использования SSLv3, как следствие, такой метод в интерфейсе отсутствует. Поищите, какой метод нужно использовать вместо него - может быть, TLSv1_method() (по логике именования методов).
    Ответ написан
    Комментировать
  • Актив директори, можно ли выдавать ЭЦП юзерам автоматически?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Для выдачи - можно, для автовыдачи - нет, потому что пользователь - существо перемещающееся, и нужно будет за ним таскать ключи от сертификата. Комп свой закрытый ключ в реестр положил и больше ничего не надо, а пользователю будет достаточно пересесть, чтобы потерять свой сертификат. Потом следить за ними неудобно будет. В принципе всё равно можно, только за собственным файлом PFX пользователю придется следить самому, и импортировать его на каждый ПК, на котором он будет работать в вордах и оутлуках.

    К подписи требуется доверие, а как его получить, если всё самоподписанное? Кто угодно снял подпись, изменил, переподписал, и у вас проблемы. Поэтому только AD CS, только хардкор :) (Любая служба PKI подойдет, но если уж есть у вас AD, его надо по максимуму использовать.)
    Ответ написан
  • Как с openssl выпустить сертификат CA, чтобы он автоматически импортировался в Доверенные корневые центры сертификации?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Автоматом именно ручной импорт не выйдет, а вот групповой политикой - выйдет. Нет групповой политики - пишите к нему батник для импорта.
    Ответ написан
  • Как сгенерировать Private Public Key?

    vesper-bot
    @vesper-bot
    Любитель файрволлов
    Private key и public key это неразрывная пара, их генерирует первая команда. В файле privkey.pem будут оба ключа, и закрытый, и открытый.

    Про опции - почитайте openssl --help или просто уберите "privkey.pem" из строки, вроде как для запуска достаточно только -key и -out, а данные для запроса в ЦС потом введете руками.
    Ответ написан
    Комментировать