samopodpisanie certyfikatu CA...

Dział poświęcony bezpieczeństwu systemów operacyjnych Windows - Logi z programu HijackThis, informacje o programach antywirusowych, Firewalach oraz o wirusach (wykrywanie, kasowanie)

samopodpisanie certyfikatu CA...

Postautor: piotrino1 » 29 lip 2010, 14:45

Witam. Mam linuksa i na nim serwer apache ze swoją stroną internetową. Wczoraj sobie skonfigurowałem apache z ssl i wszystko ładnie poszło. Wygenerowałem certyfikaty na linuksie, ale certyfikat CA wygenerowałem na samopodpisanie. Certyfikaty dałem dałem dwóm użytkownikom windowsa. W windowsach w gałęzi certyfikaty zainstalowałem je. W momencie otwierania strony https://www...../ ostrzega przez samopodpisanym certyfikatem i przed próbą oszustwa itd...Na wszystko zrobiłem ok i dodałem certyfikat jako "wyjątek". I strona ładnie mi się otwiera jako szyfrowana. O to mi chodziło. Wiem żeby tego komunikatu nie było , to bym musiał kupić certyfikaty...(a to wiadomo koszty itp..) I tu mam pytanie czy mogę w ten sposób generować sobie certyfikaty(samopodpisane)do własnego pożytku żeby mieć szyfrowanie , mimo ze certyfikat jest samopodpisany.(i pokazuje mi ostrzezenie),....? Chciałbym poznać waszą opinię na ten temat. I jak to jest przykładowo jak ktoś wchodzi na jakąs stronę szyfrowaną ssl i dostaje identyczny komunikat o "samopodpisaniu" certyfikatu a nie zna odbiorcy tego certyfikatu...? Wiadomo ze nie wchodzi się w tą stronę, ale jak się zna odbiorcę (server) to może zaakceptować i dodać certyfikat do wyjątku....? Chodzi mi o wasze zdanie. Może ktoś się tym zajmuje że tak powiem "zawodowo" Pozdrawiam



SYSTEM: [color=Black]WINDOWS 7 64bit/DEBIAN 64bit.[/color] MOBO: ASROCK N68C-S UCC
PROCESOR: ATHLON64 x2 5600 2.9GHz. PAMIĘĆ:Kingston 4GB DDR2 800MHz CL5 Dual Channel Dysk: WDC WD800JB-00JJA0 (80GB, IDE)
Awatar użytkownika
piotrino1
Junior Member
 
Posty: 1285
Rejestracja: 26 sty 2007, 17:12

Postautor: Krizz » 29 lip 2010, 20:51

Wiem żeby tego komunikatu nie było , to bym musiał kupić certyfikaty...

Niekoniecznie. Wystarczy dodać certyfikat CA (własny) do magazynu certyfikatów zaufanych (zaufane urzędy certyfikacji). Nie będzie się (lub nie powinno) pojawiało ostrzeżenie o niepewnym certyfikacie, ale będzie to działać oczywiście tylko na Twoim komputerze.

I tu mam pytanie czy mogę w ten sposób generować sobie certyfikaty(samopodpisane)do własnego pożytku żeby mieć szyfrowanie , mimo ze certyfikat jest samopodpisany.(i pokazuje mi ostrzezenie),....?

Przecież z tego co napisałeś, właśnie tak u Ciebie działa, więc czego dotyczy pytanie? Komunikat dotyczy jedynie niemożności zweryfikowania certyfikatu, a nie obecności szyfrowania lub jego braku.
To nic niezwykłego, robią tak nawet tak poważne serwisy jak np. portal PESEL podległy MSWiA. Cały dowcip prawdopodobnie polega na tym, że jeśli zależy nam tylko na połączeniu szyfrowanym, po co wydawać pieniądze na certyfikat od PCC? Certyfikaty z funkcją podpisywania transmisji witryn www, są, z tego co wiem, znacznie droższe od standardowych podpisów z certyfikatem kwalifikowanym. Oczywiście fakt nieposiadania certyfikatu wystawionego przez PCC oznacza, że witryna może być "sfabrykowana" i wcale nie należeć do instytucji, pod która się podszywa.



Awatar użytkownika
Krizz
Junior Member
 
Posty: 2998
Rejestracja: 16 mar 2004, 14:00
Lokalizacja: Kowary

Postautor: piotrino1 » 29 lip 2010, 21:11

Krizz pisze:To nic niezwykłego, robią tak nawet tak poważne serwisy jak np. portal PESEL podległy MSWiA. Cały dowcip prawdopodobnie polega na tym, że jeśli zależy nam tylko na połączeniu szyfrowanym, po co wydawać pieniądze na certyfikat od PCC? Certyfikaty z funkcją podpisywania transmisji witryn www, są, z tego co wiem, znacznie droższe od standardowych podpisów z certyfikatem kwalifikowanym. Oczywiście fakt nieposiadania certyfikatu wystawionego przez PCC oznacza, że witryna może być "sfabrykowana" i wcale nie należeć do instytucji, pod która się podszywa.


Właśnie o takie podsumowanie mi chodziło. Wielkie dzięki Krizz!!!!



SYSTEM: [color=Black]WINDOWS 7 64bit/DEBIAN 64bit.[/color] MOBO: ASROCK N68C-S UCC
PROCESOR: ATHLON64 x2 5600 2.9GHz. PAMIĘĆ:Kingston 4GB DDR2 800MHz CL5 Dual Channel Dysk: WDC WD800JB-00JJA0 (80GB, IDE)
Awatar użytkownika
piotrino1
Junior Member
 
Posty: 1285
Rejestracja: 26 sty 2007, 17:12

Postautor: T-1000 » 29 lip 2010, 22:37

Wszystko zależy od tego, co to ma być za strona.

Jeśli to ma być powiedzmy jakaś prywatna strona, forum (ostatnio klika takich widziałem), czy jakaś inna strona z mniej ważnymi danymi, to nie ma problemu, można stosować samopodpisany certyfikat.

Ale w przypadku większych serwisów, to jak dla mnie to wygląda niepoważnie. Zwłaszcza, że obecnie wszystkie przeglądarki wyraźnie alarmują użytkownika i sporo mniej obeznanych osób nie wie co się dzieje i boją się wejść na stronę ;)
Poza tym najprostszy "prawdziwy" certyfikat chroniący pojedynczą domenę, można mieć już za mniej niż 100zł rocznie, więc nie jest to jakaś mega kasa...

Edit.
Na namecheap.com jest nawet za $9.95 / rok :)



Awatar użytkownika
T-1000
Junior Member
 
Posty: 777
Rejestracja: 28 cze 2004, 9:56
Lokalizacja: Pabianice

Postautor: piotrino1 » 08 sie 2010, 19:22

Dzięki wszystkim za odpowiedzi. Mam małe pytanko, a nie chcę zakładać nowego tematu bo to jest pośrednio związane z tematem postu. W jaki sposób mogę ustawić(w konfiguracji httpd.conf mam ustawione tylko virtual_host adres domenowy na port :443) a mimo to jak właczam stronę na http to otwiera mi się strona nieszyfrowana, a na https strona szyfrowana. A chciałbym tylko zeby mi się otwierała strona https... W jaki sposób mogę to najszybciej skonfigurować...Pozdrawiam


P.S Próbowałem na kilka sposobów ale zaden mi nie pomógł....Oprócz https otwiera mi się http...



SYSTEM: [color=Black]WINDOWS 7 64bit/DEBIAN 64bit.[/color] MOBO: ASROCK N68C-S UCC
PROCESOR: ATHLON64 x2 5600 2.9GHz. PAMIĘĆ:Kingston 4GB DDR2 800MHz CL5 Dual Channel Dysk: WDC WD800JB-00JJA0 (80GB, IDE)
Awatar użytkownika
piotrino1
Junior Member
 
Posty: 1285
Rejestracja: 26 sty 2007, 17:12

Postautor: T-1000 » 08 sie 2010, 19:47

To zupełnie normalne zachowanie.
Http jest nieszyfrowane (standardowo port 80), a https szyfrowane (port 443). W zależności jak ktoś wejdzie, tak będzie miał.

Jak chcesz żeby połączenie zawsze było szyfrowane, to możesz przekierowywać http -> https np. w php, albo w konfiguracji htaccess.

Dajesz w pliku .htaccess np. coś takiego:

Kod: Zaznacz cały
RewriteEngine On
RewriteCond %{HTTPS} off
RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}



Albo inne rozwiązania w zależności od potrzeb:
http://www.google.pl/#hl=pl&source=hp&q=przekierowanie+http+na+https&aq=f&aqi=&aql=&oq=&gs_rfai=&fp=7d6177e18cefe409



Awatar użytkownika
T-1000
Junior Member
 
Posty: 777
Rejestracja: 28 cze 2004, 9:56
Lokalizacja: Pabianice

Postautor: piotrino1 » 08 sie 2010, 20:15

T-1000 pisze:To zupełnie normalne zachowanie.


Jak chcesz żeby połączenie zawsze było szyfrowane, to możesz przekierowywać http -> https np. w php, albo w konfiguracji htaccess.


Dzięki za informacje. Pozdrawiam



SYSTEM: [color=Black]WINDOWS 7 64bit/DEBIAN 64bit.[/color] MOBO: ASROCK N68C-S UCC
PROCESOR: ATHLON64 x2 5600 2.9GHz. PAMIĘĆ:Kingston 4GB DDR2 800MHz CL5 Dual Channel Dysk: WDC WD800JB-00JJA0 (80GB, IDE)
Awatar użytkownika
piotrino1
Junior Member
 
Posty: 1285
Rejestracja: 26 sty 2007, 17:12


Wróć do Bezpieczeństwo

Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 1 gość
cron