Como criar certificados de segurança privados que se comportam como os oficiais?

Question

Como criar certificados de segurança privados que se comportam como os oficiais?

#1 resposta do (3 votos)

6

Estou tentando obter um ambiente seguro válido para que a comunicação HTTP se comporte como as normais. Estou fazendo isso para um grupo restrito de usuários.
Existe um servidor de hardware executando um serviço da web (nginx). O OpenSSL está instalado nesta máquina e também estou usando isso como uma CA. Eu criei o certificado de CA raiz e assinei um certificado para o serviço da Web usando-o. Em seguida, forneci o certificado de CA raiz a um usuário confiável (outro PC controlado por mim) e ele foi importado para o Firefox como uma autoridade confiável.
Quase tudo funciona bem (o serviço HTTPS está acessível e a página warning não aparece), mas recebo um status blue (a primeira coisa na barra de endereços, antes https: // ...) do serviço informando:

Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company

Outros sites HTTPS conhecidos mundialmente, como addons.mozilla.com, por exemplo, mostram um status verde e não possuem essa peça (desconhecida) dados. Eles têm lá o nome da empresa e localização.

É possível fazer com que um ambiente seguro privado personalizado se comporte como um normal e seja verde ? Se sim, o que deve ser feito para obter isso (do lado do cliente? Do lado do servidor?)

Como uma questão de efeito colateral: onde eu poderia aprender sobre PKI, SSL, e todas essas coisas de 0 a avançadas ? ou talvez haja alguns bons livros relacionados a isso?

Agradecemos antecipadamente por qualquer ajuda e respostas.

ssl openssl certificate ssl-certificate

por ArtM 28.01.2012 / 18:37

1 resposta

Tags ssl openssl certificate ssl-certificate

O Windows ativa meu disco rígido externo sempre que um software abre a árvore de diretórios Editando grupos no Scribus

score 3 · Accepted Answer

Você não pode - esse é basicamente o raciocínio por trás dos certificados EV (aqueles que fazem a barra de localização ficar verde). Você praticamente teria que corrigir o seu navegador ou hackear alguma chave privada de EV-CAs.

Encontrei um tópico na lista de discussão do OpenSSL que explica o problema; você também pode querer olhar para o artigo da Wikipedia sobre o que é todo esse material de validação estendida.

Quanto à sua pergunta secundária: todo o material PKI e SSL é terrivelmente complexo. Eu encontrei um artigo que explica algumas das teorias por trás da construção de sua própria PKI, mas isso está longe de ser um bom tutorial "do zero ao avançado". Então há, é claro, RFC 5280 , mas isso faz com que alguns muito pesados leitura. Mas pelo menos é o padrão oficial, pelo que vale a pena.