Google Groups no longer supports new Usenet posts or subscriptions. Historical content remains viewable.
Dismiss
Ограничить X.509 сертификат
23 views
Skip to first unread message
Victor Sudakov
May 3, 2012, 1:13:49 AM5/3/12
to
Коллеги,
Есть организации, например http://tmsk.gks.ru/ , которые приглашают
ходить к ним по HTTPS, но сертификат у них самоподписанный или
подписанный доморощенным CA.
Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
одной стороны, браузер не ругался при обращении к gks.ru и его
поддоменам, но с другой стороны, не верить данному CA, если он
попробует выдать сертификат например на paypal.com. Это вообще
возможно?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
Есть организации, например http://tmsk.gks.ru/ , которые приглашают
ходить к ним по HTTPS, но сертификат у них самоподписанный или
подписанный доморощенным CA.
Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
одной стороны, браузер не ругался при обращении к gks.ru и его
поддоменам, но с другой стороны, не верить данному CA, если он
попробует выдать сертификат например на paypal.com. Это вообще
возможно?
--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/49@fidonet http://vas.tomsk.ru/
Serguei E. Leontiev
May 3, 2012, 11:10:54 PM5/3/12
to
Привет Victor,
От чт, 03 май 2012 09:13:49 в fido7.ru.crypt ты писал:
VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
VS> подписанный доморощенным CA.
VS>
VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
VS> одной стороны, браузер не ругался при обращении к gks.ru и его
VS> поддоменам,
Hа счёт поддоменов, это не от тебя зависит, а от сертификата.
VS> но с другой стороны, не верить данному CA, если он
Если УЦ не веришь, то не стоит его устанавливать в доверенное
хранилище корневых сертификатов.
VS> попробует выдать сертификат например на paypal.com. Это вообще
VS> возможно?
Из платформо-независимых способов:
1. Разделить по пользователям (Mac OSX, Windows, Unix) или по
приложениям (iOS, Android);
2. Proxy привязка, т.е. политика проверки вешается на
межсетевой экран, скажем так работают антивирусы,
контролирующие TLS/SSL соединения и некоторые МЭ (ISA 2006,
ForeFront и др., иными словами можно применить п. 2 для MS
на МЭ, а клиенты просто будут МЭ верить);
3. Других работающих платформено-независмых способов мне
неизвестно, есть неработающие: выпустить доверенный
кросс-сертификат, который, одновременно, ограничить
политикой или TSL;
Однако, для каждой платформы (browser-а) есть уникальные
механизмы:
1. Скажем, Safari сам спросит не желаешь ли ты доверять
данному сертификату для данного узла;
2. У MS есть локальная политика, которая позволяет
устанавливать сертификат сервера в "Trusted People"
(естественно без доверия к УЦ выпустившего этот
сертификат), а так же есть CTL (Certificate Trust List);
3. У FireFox есть "исключения", как аналог локальной политики;
4. Chrome может использовать проверку сертификатов от базовой
ОС (пп. 1 и 2);
и т.п.
--
Успехов, Сергей Леонтьев. E-mail: l...@CryptoPro.ru <http://www.cryptopro.ru>
От чт, 03 май 2012 09:13:49 в fido7.ru.crypt ты писал:
VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
VS> подписанный доморощенным CA.
VS>
VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
VS> одной стороны, браузер не ругался при обращении к gks.ru и его
VS> поддоменам,
Hа счёт поддоменов, это не от тебя зависит, а от сертификата.
VS> но с другой стороны, не верить данному CA, если он
Если УЦ не веришь, то не стоит его устанавливать в доверенное
хранилище корневых сертификатов.
VS> попробует выдать сертификат например на paypal.com. Это вообще
VS> возможно?
Из платформо-независимых способов:
1. Разделить по пользователям (Mac OSX, Windows, Unix) или по
приложениям (iOS, Android);
2. Proxy привязка, т.е. политика проверки вешается на
межсетевой экран, скажем так работают антивирусы,
контролирующие TLS/SSL соединения и некоторые МЭ (ISA 2006,
ForeFront и др., иными словами можно применить п. 2 для MS
на МЭ, а клиенты просто будут МЭ верить);
3. Других работающих платформено-независмых способов мне
неизвестно, есть неработающие: выпустить доверенный
кросс-сертификат, который, одновременно, ограничить
политикой или TSL;
Однако, для каждой платформы (browser-а) есть уникальные
механизмы:
1. Скажем, Safari сам спросит не желаешь ли ты доверять
данному сертификату для данного узла;
2. У MS есть локальная политика, которая позволяет
устанавливать сертификат сервера в "Trusted People"
(естественно без доверия к УЦ выпустившего этот
сертификат), а так же есть CTL (Certificate Trust List);
3. У FireFox есть "исключения", как аналог локальной политики;
4. Chrome может использовать проверку сертификатов от базовой
ОС (пп. 1 и 2);
и т.п.
--
Успехов, Сергей Леонтьев. E-mail: l...@CryptoPro.ru <http://www.cryptopro.ru>
Victor Sudakov
May 4, 2012, 6:35:16 AM5/4/12
to
Serguei E. Leontiev wrote:
> VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
> VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
> VS> подписанный доморощенным CA.
> VS>
> VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
> VS> одной стороны, браузер не ругался при обращении к gks.ru и его
> VS> поддоменам,
Прежде всего спасибо за обстоятельный ответ.
> VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
> VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
> VS> подписанный доморощенным CA.
> VS>
> VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
> VS> одной стороны, браузер не ругался при обращении к gks.ru и его
> VS> поддоменам,
> Hа счёт поддоменов, это не от тебя зависит, а от сертификата.
gks.ru, то доверять этому CA, а иначе - нет.
Вот кстати сертификат этого доморощенного CA:
http://tmsk.gks.ru/files/CSTomskstat.crt
> VS> но с другой стороны, не верить данному CA, если он
> Если УЦ не веришь, то не стоит его устанавливать в доверенное
> хранилище корневых сертификатов.
централизованно установить, чтобы у пользователей браузеры не ругались
на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
[dd]
> 2. У MS есть локальная политика, которая позволяет
> устанавливать сертификат сервера в "Trusted People"
> (естественно без доверия к УЦ выпустившего этот
> сертификат), а так же есть CTL (Certificate Trust List);
> 3. У FireFox есть "исключения", как аналог локальной политики;
Да, механизм исключений как в FireFox тут очень хорошо подходит,
> устанавливать сертификат сервера в "Trusted People"
> (естественно без доверия к УЦ выпустившего этот
> сертификат), а так же есть CTL (Certificate Trust List);
> 3. У FireFox есть "исключения", как аналог локальной политики;
потому что исключение запоминается для сертификата сайта, а не
сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
доменных политик можно централизованно установить сертификат в Trusted
People. Есть только возможность установить в хранилище root CA.
Редактор GPO не дает выбрать другое хранилище:
http://www.imagepost.ru/images/s/cr/screenshot-395.png
Serguei E. Leontiev
May 12, 2012, 8:31:58 AM5/12/12
to
Привет Victor,
От пт, 04 май 2012 14:35:16 в fido7.ru.crypt ты писал:
VS> Serguei E. Leontiev wrote:
VS> Я совершенно согласен, но не нашел другого способа, как и куда его
VS> централизованно установить, чтобы у пользователей браузеры не ругались
VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
Советы относительно настрой МЭ, это не обязательно во всяких там
Dr.Web и Касперских, это тоже может быть централизованно.
Имелось ввиду, возможности некоторых МЭ обеспечивать работу
систем защиты от разглашения (DLP) и антивирусного контроля, для
МЭ от MS:
И HTTPS inspection в TMG
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Pa rt1.html
http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html
>> 2. У MS есть локальная политика, которая позволяет
>> устанавливать сертификат сервера в "Trusted People"
>> (естественно без доверия к УЦ выпустившего этот
>> сертификат), а так же есть CTL (Certificate Trust List);
>> 3. У FireFox есть "исключения", как аналог локальной политики;
VS> Да, механизм исключений как в FireFox тут очень хорошо подходит,
VS> потому что исключение запоминается для сертификата сайта, а не
VS> сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
VS> доменных политик можно централизованно установить сертификат в Trusted
VS> People. Есть только возможность установить в хранилище root CA.
VS> Редактор GPO не дает выбрать другое хранилище:
VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png
Для Windows 7 и возможно, Vista, на отдельном компьютере это
настраивается в локальной политике, соответственно в политике
домена Windows 2008R2 (2008) это должно быть там же.
Кроме того, политика домена позволяет настраивать файлы, ключи
реестра и прочая, прочая, вплоть до запуска программ, наверное,
если простых путей не будет, то можно будет извратиться.
Помнится, на базе знаний Майкрософт была статьи на тему: "Как
настраивать локальные политики посредством доменных политик"
От пт, 04 май 2012 14:35:16 в fido7.ru.crypt ты писал:
VS> Serguei E. Leontiev wrote:
VS> Я совершенно согласен, но не нашел другого способа, как и куда его
VS> централизованно установить, чтобы у пользователей браузеры не ругались
VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
Советы относительно настрой МЭ, это не обязательно во всяких там
Dr.Web и Касперских, это тоже может быть централизованно.
Имелось ввиду, возможности некоторых МЭ обеспечивать работу
систем защиты от разглашения (DLP) и антивирусного контроля, для
МЭ от MS:
И HTTPS inspection в TMG
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Pa rt1.html
http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html
>> 2. У MS есть локальная политика, которая позволяет
>> устанавливать сертификат сервера в "Trusted People"
>> (естественно без доверия к УЦ выпустившего этот
>> сертификат), а так же есть CTL (Certificate Trust List);
>> 3. У FireFox есть "исключения", как аналог локальной политики;
VS> потому что исключение запоминается для сертификата сайта, а не
VS> сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
VS> доменных политик можно централизованно установить сертификат в Trusted
VS> People. Есть только возможность установить в хранилище root CA.
VS> Редактор GPO не дает выбрать другое хранилище:
VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png
Для Windows 7 и возможно, Vista, на отдельном компьютере это
настраивается в локальной политике, соответственно в политике
домена Windows 2008R2 (2008) это должно быть там же.
Кроме того, политика домена позволяет настраивать файлы, ключи
реестра и прочая, прочая, вплоть до запуска программ, наверное,
если простых путей не будет, то можно будет извратиться.
Помнится, на базе знаний Майкрософт была статьи на тему: "Как
настраивать локальные политики посредством доменных политик"
Victor Sudakov
May 12, 2012, 9:30:12 AM5/12/12
to
Serguei E. Leontiev wrote:
> VS> Я совершенно согласен, но не нашел другого способа, как и куда его
> VS> централизованно установить, чтобы у пользователей браузеры не ругались
> VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
> Советы относительно настрой МЭ, это не обязательно во всяких там
> Dr.Web и Касперских, это тоже может быть централизованно.
> Имелось ввиду, возможности некоторых МЭ обеспечивать работу
> систем защиты от разглашения (DLP) и антивирусного контроля, для
> МЭ от MS:
Связываться с перехватом HTTPS не хотелось бы.
> VS> Я совершенно согласен, но не нашел другого способа, как и куда его
> VS> централизованно установить, чтобы у пользователей браузеры не ругались
> VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
> Советы относительно настрой МЭ, это не обязательно во всяких там
> Dr.Web и Касперских, это тоже может быть централизованно.
> Имелось ввиду, возможности некоторых МЭ обеспечивать работу
> систем защиты от разглашения (DLP) и антивирусного контроля, для
> МЭ от MS:
> VS> Hо проблема в том, что я не нашёл, как с помощью
> VS> доменных политик можно централизованно установить сертификат в Trusted
> VS> People. Есть только возможность установить в хранилище root CA.
> VS> Редактор GPO не дает выбрать другое хранилище:
> VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png
> Для Windows 7 и возможно, Vista, на отдельном компьютере это
> настраивается в локальной политике, соответственно в политике
> домена Windows 2008R2 (2008) это должно быть там же.
Там где это нужно сделать, домен на w2k. Возможно поэтому и такое
> VS> People. Есть только возможность установить в хранилище root CA.
> VS> Редактор GPO не дает выбрать другое хранилище:
> VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png
> Для Windows 7 и возможно, Vista, на отдельном компьютере это
> настраивается в локальной политике, соответственно в политике
> домена Windows 2008R2 (2008) это должно быть там же.
ограничение.
> Кроме того, политика домена позволяет настраивать файлы, ключи
> реестра и прочая, прочая, вплоть до запуска программ, наверное,
> если простых путей не будет, то можно будет извратиться.
в этом направлении, спасибо за подсказку насчет "Trusted People".
0 new messages