samopodpisanie certyfikatu CA...
piotrino1 - 29-07-10 14:45
samopodpisanie certyfikatu CA...
Witam. Mam linuksa i na nim serwer apache ze swoją stroną internetową. Wczoraj sobie skonfigurowałem apache z ssl i wszystko ładnie poszło. Wygenerowałem certyfikaty na linuksie, ale certyfikat CA wygenerowałem na samopodpisanie. Certyfikaty dałem dałem dwóm użytkownikom windowsa. W windowsach w gałęzi certyfikaty zainstalowałem je. W momencie otwierania strony https://www...../ ostrzega przez samopodpisanym certyfikatem i przed próbą oszustwa itd...Na wszystko zrobiłem ok i dodałem certyfikat jako "wyjątek". I strona ładnie mi się otwiera jako szyfrowana. O to mi chodziło. Wiem żeby tego komunikatu nie było , to bym musiał kupić certyfikaty...(a to wiadomo koszty itp..) I tu mam pytanie czy mogę w ten sposób generować sobie certyfikaty(samopodpisane)do własnego pożytku żeby mieć szyfrowanie , mimo ze certyfikat jest samopodpisany.(i pokazuje mi ostrzezenie),....? Chciałbym poznać waszą opinię na ten temat. I jak to jest przykładowo jak ktoś wchodzi na jakąs stronę szyfrowaną ssl i dostaje identyczny komunikat o "samopodpisaniu" certyfikatu a nie zna odbiorcy tego certyfikatu...? Wiadomo ze nie wchodzi się w tą stronę, ale jak się zna odbiorcę (server) to może zaakceptować i dodać certyfikat do wyjątku....? Chodzi mi o wasze zdanie. Może ktoś się tym zajmuje że tak powiem "zawodowo" Pozdrawiam
Krizz - 29-07-10 20:51
Cytat:
Wiem żeby tego komunikatu nie było , to bym musiał kupić certyfikaty...
Niekoniecznie. Wystarczy dodać certyfikat CA (własny) do magazynu certyfikatów zaufanych (zaufane urzędy certyfikacji). Nie będzie się (lub nie powinno) pojawiało ostrzeżenie o niepewnym certyfikacie, ale będzie to działać oczywiście tylko na Twoim komputerze.
Cytat:
I tu mam pytanie czy mogę w ten sposób generować sobie certyfikaty(samopodpisane)do własnego pożytku żeby mieć szyfrowanie , mimo ze certyfikat jest samopodpisany.(i pokazuje mi ostrzezenie),....?
Przecież z tego co napisałeś, właśnie tak u Ciebie działa, więc czego dotyczy pytanie? Komunikat dotyczy jedynie niemożności zweryfikowania certyfikatu, a nie obecności szyfrowania lub jego braku.
To nic niezwykłego, robią tak nawet tak poważne serwisy jak np. portal PESEL podległy MSWiA. Cały dowcip prawdopodobnie polega na tym, że jeśli zależy nam tylko na połączeniu szyfrowanym, po co wydawać pieniądze na certyfikat od PCC? Certyfikaty z funkcją podpisywania transmisji witryn www, są, z tego co wiem, znacznie droższe od standardowych podpisów z certyfikatem kwalifikowanym. Oczywiście fakt nieposiadania certyfikatu wystawionego przez PCC oznacza, że witryna może być "sfabrykowana" i wcale nie należeć do instytucji, pod która się podszywa.
piotrino1 - 29-07-10 21:11
Cytat:
(Wiadomość 110034)
To nic niezwykłego, robią tak nawet tak poważne serwisy jak np. portal PESEL podległy MSWiA. Cały dowcip prawdopodobnie polega na tym, że jeśli zależy nam tylko na połączeniu szyfrowanym, po co wydawać pieniądze na certyfikat od PCC? Certyfikaty z funkcją podpisywania transmisji witryn www, są, z tego co wiem, znacznie droższe od standardowych podpisów z certyfikatem kwalifikowanym. Oczywiście fakt nieposiadania certyfikatu wystawionego przez PCC oznacza, że witryna może być "sfabrykowana" i wcale nie należeć do instytucji, pod która się podszywa.
Właśnie o takie podsumowanie mi chodziło. Wielkie dzięki Krizz!!!!
T-1000 - 29-07-10 22:37
Wszystko zależy od tego, co to ma być za strona.
Jeśli to ma być powiedzmy jakaś prywatna strona, forum (ostatnio klika takich widziałem), czy jakaś inna strona z mniej ważnymi danymi, to nie ma problemu, można stosować samopodpisany certyfikat.
Ale w przypadku większych serwisów, to jak dla mnie to wygląda niepoważnie. Zwłaszcza, że obecnie wszystkie przeglądarki wyraźnie alarmują użytkownika i sporo mniej obeznanych osób nie wie co się dzieje i boją się wejść na stronę ;)
Poza tym najprostszy "prawdziwy" certyfikat chroniący pojedynczą domenę, można mieć już za mniej niż 100zł rocznie, więc nie jest to jakaś mega kasa...
Edit.
Na namecheap.com jest nawet za $9.95 / rok :)
piotrino1 - 08-08-10 19:22
Dzięki wszystkim za odpowiedzi. Mam małe pytanko, a nie chcę zakładać nowego tematu bo to jest pośrednio związane z tematem postu. W jaki sposób mogę ustawić(w konfiguracji httpd.conf mam ustawione tylko virtual_host adres domenowy na port :443) a mimo to jak właczam stronę na http to otwiera mi się strona nieszyfrowana, a na https strona szyfrowana. A chciałbym tylko zeby mi się otwierała strona https... W jaki sposób mogę to najszybciej skonfigurować...Pozdrawiam
P.S Próbowałem na kilka sposobów ale zaden mi nie pomógł....Oprócz https otwiera mi się http...
T-1000 - 08-08-10 19:47
To zupełnie normalne zachowanie.
Http jest nieszyfrowane (standardowo port 80), a https szyfrowane (port 443). W zależności jak ktoś wejdzie, tak będzie miał.
Jak chcesz żeby połączenie zawsze było szyfrowane, to możesz przekierowywać http -> https np. w php, albo w konfiguracji htaccess.
Dajesz w pliku .htaccess np. coś takiego:
Kod:
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}
Albo inne rozwiązania w zależności od potrzeb:
http://www.google.pl/#hl=pl&source=h...6177e18cefe409
piotrino1 - 08-08-10 20:15
Cytat:
(Wiadomość 110097)
To zupełnie normalne zachowanie.
Jak chcesz żeby połączenie zawsze było szyfrowane, to możesz przekierowywać http -> https np. w php, albo w konfiguracji htaccess.
Dzięki za informacje. Pozdrawiam