Questão Instalando / aplicando o certificado da CA raiz automaticamente


Existe uma maneira de instalar / aplicar automaticamente uma CA raiz aos clientes? Para que eles não recebam nenhum aviso de certificado não confiável ao visitar um site local?

Eu tenho um DNS local configurado e adicionado a ele para o meu roteador. Posso, se possível, instalar a CA raiz no roteador e isso também afetaria os clientes conectados?


2


origem


"Existe uma maneira de instalar / aplicar automaticamente uma CA raiz aos clientes?" - Somente se o sistema operacional deles confiar na autoridade raiz. Como isso é marcado como OpenSSL, só posso assumir que você está falando sobre certificados de CA autoassinados. Como administrador de um sistema, você pode criar uma imagem do sistema operacional, que já confia na CA autoassinada, se desejar. - Ramhound
Sim, é auto-assinado. Então a única maneira é instalar ou pré-instalar apenas no sistema? - John Pangilinan
Se você não quiser que o usuário do sistema o instale, sim, instalá-lo para eles é a única maneira de o navegador confiar nele automaticamente - Ramhound


Respostas:


Existe uma maneira de instalar / aplicar automaticamente uma CA raiz aos clientes?

Sim, mas depende do cliente. Você pode, por exemplo, automaticamente (ou seja, sem confirmação do usuário final) instalar certificados de CA raiz em máquinas Microsoft Windows em seu domínio com uma política de grupo, mas esses certificados não serão honrados pelo Firefox, que usa seu próprio armazenamento de certificados.

Os protocolos de criptografia dependem de PKI (certificados) para estabelecer confiança. A confiança é definida por o dono do cliente (um sistema operacional ou um navegador).

Alguns clientes que visam ambientes corporativos permitem definir a confiança do proprietário (uma empresa) sem notificar os utilizadores finais.

Eu tenho um DNS local configurado e adicionado a ele para o meu roteador.

Os mecanismos acima são separados do DNS.

SSL / TLS e outros protocolos que utilizam PKI na verdade destinam-se a impedir que os proprietários de servidores de DNS abusem de seu poder redirecionando o tráfego dos usuários de forma sub-reptícia.

Posso, se possível, instalar a CA raiz no roteador e isso também afetaria os clientes conectados?

Felizmente você não pode. Se você pudesse, o PKI inteiro não forneceria segurança.


6



Depende de que cenário? - John Pangilinan
Para o sistema operacional do cliente. @John - 0xcaff