Como configuro meu sistema para confiar em uma autoridade de certificação para um subconjunto específico de domínios?

2

A empresa para a qual trabalho tem vários serviços da Web internos acessíveis por HTTPS. Esses serviços usam certificados SSL / TLS assinados por uma autoridade de certificação interna que só é confiável por computadores emitidos por minha empresa. Ocasionalmente, preciso acessar esses serviços do meu computador pessoal em casa. Compreensivelmente, isso dispara um aviso de segurança do meu navegador. Até agora eu apenas ignorei esses avisos, mas recentemente eu comecei a me sentir um pouco desconfortável com essa prática, pois deixa minha conexão vulnerável ao homem nos ataques do meio.

Como solução para este problema, quero confiar no certificado raiz usado pela minha empresa no meu computador em casa. De acordo com o princípio do menor privilégio, no entanto, desejo apenas que a CA seja confiável para os domínios que minha empresa controla, por exemplo, * .internal.examplecompany.com Como posso fazer isso? O computador principal que eu estou interessado em configurar dessa maneira é rodar o Ubuntu 12.04 LTS. (Também estou interessado em fazer isso para outros dispositivos que executam o Windows 8 e o Android, mas não perguntarei sobre isso agora para evitar que essa pergunta seja muito ampla).

    
por Ajedi32 16.10.2014 / 17:31

2 respostas

2

Simplesmente não há recurso embutido em navegadores padrão ou clientes SSL para permitir isso. Basicamente, uma autoridade de certificação é totalmente confiável ou não é confiável.

Suponho que seja possível que exista algum tipo de plugin para permitir isso, mas não tenho conhecimento de nenhum.

    
por 16.10.2014 / 18:32
0

Occasionally, I need to access these services from my personal computer at home.

Depende do software que usa os serviços. No caso dos navegadores ....

I want to trust the root certificate used by my company on my computer at home. In keeping with the principle of least privilege however, I only want that CA to be trusted for domains my company controls, e.g. *.internal.examplecompany.com. How can I do this?

Você não pode. O modelo de segurança do navegador (é uma coisa real) gira em torno do CA Zoo, onde qualquer CA pode certificar qualquer site (mesmo que seja a CA errada). Não há claramente interesse em mudar esse modelo. De Proposta: marcação do HTTP como não seguro :

Open question: do you think the browsers will support a model other than the CA Zoo for rooting trust?

E a resposta da equipe do Chromium Proposta: marcação do HTTP como não seguro :

Chromium has no plans for this

    
por 21.12.2014 / 08:15