Вопросы Теги

Как доверять моему собственному самоподписанному сертификату SSL?

Параллели теперь имеют продукт, который позволяет Вам создавать виртуальный сервер Windows 2008 или 2003 на своем Xserve.

http://www.parallels.com/products/server/mac/

4
задан 4 September 2010 в 05:50
4 ответа

При создании собственного сертификата, сгенерированного от собственного Центра сертификации, можно настроить браузер выбора доверять этому Приблизительно. Тем путем это будет доверять сертификату, который Вы создали из этого Приблизительно. Случайный человек, создающий сертификат с идентичной информацией к Вашему, должен заставить Ваш браузер бросать ошибки отказа проверки SSL, так как тот сертификат не был бы подписан CA, которому Вы доверяете.

4
ответ дан 3 December 2019 в 02:54
  • 1
    я думал об этом, но что я хочу защитить, является веб-почтой. Точка этого - то, что я часто проверяю свою почту через веб-почту из интернет-кафе, компьютеров отеля или что бы то ни было, возможно, даже друзья ноутбук. Когда я должен подтвердить, что доверяю сертификату, как я могу дифференцировать свой сертификат от взломщики? –   4 September 2010 в 08:04
  • 2
    @Jacob, для КОТОРОГО необходимо будет на самом деле посмотреть на сертификат. Большинство браузеров позволяет Вам, по крайней мере, просматривать его прежде, чем принять его. Необходимо будет запомнить некоторые шестнадцатеричные числа. –  sysadmin1138♦ 4 September 2010 в 08:50
  • 3
    Ahh, таким образом, это действительно сводится к запоминанию специфических аспектов сертификата. Блин... и спасибо. –   4 September 2010 в 09:12

Если Вы - единственный для использования домена, то самоподписанный сертификат достаточен. Создание Вашего собственного сертификата означает генерировать Ваш собственный закрытый ключ CA. Пока можно сохранить этот закрытый ключ безопасным, Вы затем не должны волноваться ни о ком подделывающем сертификаты. Без этого закрытого ключа для любого невозможно генерировать сертификат с тем же открытым ключом, и Вы сможете сказать путем сравнения открытых ключей.

2
ответ дан 3 December 2019 в 02:54
  • 1
    Как это помогает с нападением mitm? Если бы кто-то предоставляет их собственный сертификат для моего домена с той же информацией, как я смог бы обнаружить это..., если я не запоминаю некоторые числа, уникальные для моего сертификата? –   4 September 2010 в 06:47
  • 2
    Jacob - дело в том, что информация Вы входите при создании сертификата, почти не имеют никакого отношения к случайным образом сгенерированной части ключа. Это было бы почти невозможно, чтобы кто-то генерировал идентичный ключ. –  EEAA 4 September 2010 в 07:09
  • 3
    я понимаю, что, моя проблема состоит в том, как я сказал бы ключ взломщиков от своего собственного ключа, не смотря на огромную случайную строку чисел? Я путешествую много, и нахожусь не всегда на моем собственном ПК, таким образом, любой вид решения для белого списка не будет работать. –   4 September 2010 в 08:03

Можно сохранить файл открытого ключа CA на карте памяти и импортировать его в любой браузер, который Вы используете.

Файл мог также быть в сети в адресе, который можно легко помнить.

Это может стоить Вашего времени для рассмотрения присоединения к CACert (http://www.cacert.org/), таким образом, у Вас только есть тот CA для волнения о для совместных использований.

2
ответ дан 3 December 2019 в 02:54

Путем становления собственным Центром сертификации Вы предоставляете подлинность сертификату путем создания подписи его. Это сделано через подпись, которая подписывается через закрытый ключ. Открытый ключ затем используется, чтобы проверить, что подпись была действительно поставлена закрытым ключом.

Поскольку только CA (Вы) знает частное, Вы полагаете, что CA проверил сертификат, и это, проходят проверку подлинности. Для доверия CA Вы устанавливаете сертификат CA (который содержит открытый ключ) в Ваше кольцо доверия, обычно в Windows, это сделано путем двойного щелчка по файлу сертификата и проверки, что Вы хотите доверять ему. В Firefox это сделано путем добавления его в области Certificates Опций.

Ключ к вышеупомянутому удостоверяется, что никакой другой CA в Вашем кольце доверия не мог потенциально поставить подпись. Поэтому АВАРИЯ проверяет владельца домена прежде, чем подписать сертификат для того домена.

Если требуется узнать больше деталей криптографии включая общедоступный/частный:

http://www.pgpi.org/doc/pgpintro/

Удивительная книга по предмету является Прикладной Криптографией. Намного более простая книга является Дешифрованной Криптографией.

0
ответ дан 3 December 2019 в 02:54
  • 1
    проблема с этим, то, что смысл веб-почты - то, что я могу проверить свою электронную почту от компьютеров, которые не являются моим собственным. Я путешествую много, таким образом, я часто использую компьютеры отеля, интернет-кафе и т.д. Я хочу смочь проверить свою веб-почту надежно. Поскольку мой CA не находится в кольце доверия, когда я нахожусь на новом компьютере, я имею к (в Firefox), подтверждают исключение и затем позволяют сертификат. Мой вопрос, то, что, если кто-то делает нападение MITM на меня, как я могу знать, позволяю ли я свой сертификат или взломщиков? –   4 September 2010 в 08:02
  • 2
    OK команды ufw, я вижу точку, в этом случае это запоминает цифровой отпечаток, как сказал sysadmin1138. Это может также быть более безопасно для переноса вокруг портативного Firefox usb. Кроме того, не забывайте клавиатурные перехватчики. –  Rob Olmos 5 September 2010 в 11:54

Теги

Похожие вопросы