- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Зачем быть уникальным в мире, где все можно скопировать
Почему так важна уникальность текста и как она влияет на SEO
Ingate Organic
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Доброй ночи. Я тут немного не проспался, курю мануалы и проверяю proof of concept.
Значит идея такая:
есть официальный полученный SSL сертификат на домен, допустим, mydomain.com. Обычный, без EV.
Этим сертификатом я подписал сертификат, сгенерированный для домена test.mydomain.com. Подписано нормально. К покупнуму сертификату в комплекте идет еще и intermediate.
Поднял виртуальный хост test.mydomain.com, в настройках указываю сертификат - свой, подписанный покупным. Приватный ключ от своего. Промежуточный - клею покупной на свой домен и его intermediate'Ы в один файл. Вообщем, панель управления это успешно кушает (что бывает не всегда, там свои проверки), но браузеры категорически отказываются открывать страницу сайта - в хроме, например, она вроде как на секунду открывается и после этого всплывает хромовский матюк.
Злоумышленники могут пытаться похитить ваши данные с сайта test.************* (например, пароли, сообщения или номера банковских карт). NET::ERR_CERT_INVALID
Инфа о сертификате выглядит как в аттаче: корневой сертификат, далее сертификат ЦС у которого я покупал, третий - на мой домен, четвертый - им подписанный. Так вот покупной сообщает что "сертификат недействителен для данного назначения".
Почему я своим сертификатом не могу подписать сертификат субдомена?
Это борьба продавцов сертификатов с желающими не переплачивать им за wildcard / отдельные или на то есть какие-то реальные соображения по безопасности?
Что нужно иметь в enhanced key usage OIDs чтобы этим сертификатом можно было подписывать другие и они принимались?
// или я просто что-то криво настроил?
Сумбурно написано, но почитайте принципы шифрования. Вы не до конца понимаете процесс.
Есть сертифицирующий орган (Thawte, geotrust и пр.) , вы генерируете на своем сервере запрос на сертификат, файл CSR , отправляете им на подпись. Они своим корневым, доверенным сертификатом подписывают ваш запрос и вы получаете сертификат - CRT.
Common Name в запросе и в полученном сертификате - это то, что вы сертифицируете.
Вы получаете от сертифицирующего органа КЛИЕНТСКИЙ сертификат, а не корневой, вы не можете этим клиентским сертификатом подписывать другие запросы CSR, т.к. не являетесь доверенным.
Что бы подписывать самому себе сертификаты - нужно стать сертифицирующим органом :)
Что Вам мешает получить бесплатный сертификат от Lets Encrypt - и не мучаться с этим вопросом?
Зачем? говорю же проверял proof of concept. Lets Encrypt или были еще конторы с бесплатными сертификатами на год - другой вопрос.
У некоторых центров сертификации цепочки идут по 2-3 сертификата: корневой доверенный, которым подписан другой сертификат, которым подписан третий, и уже третьим сертификатом подписан сертификат клиента (мой в данном случае). Я хотел просто добавить в цепочку еще 1 уровень, т.к. в моем сертификате не указано "ограничение на длину пути". Сертификат, подписанный доверенным сертификатом, получается доверенным. Почему им можно делать цепочки из сертификатов а мне нет? Я подозреваю что мне не хватает какого-то параметра в сертификате. Там, например, есть OIDs - для идентификации клиента, сервера, защиты почты и еще чего - но OID для подписывания я в интернете не нашел
Вот если открыть webmoney.ua - у них COMODO -> Comodo RSA Domain valivation -> *.webmoney.ua
У Comodo RSA указано в графе "использование" - "подписывание сертификатов". Каким параметром makecert / openssl ставится этот флаг?
P.S. да и почему при использовании самоподписанного или истекшего сертификата браузеры выдают предупреждение, но пускают на сайт, а в моей цепочке - не пускают?
Ну тогда Вам гуглить, гуглить и гуглить.
Когда поймете, что не самый умный - Lets Encrypt и продляется автоматически и доверенный.
Зачем придумывать велосипед?
Причем тут самый умный? Это что монополия у 3-4 фирм и еще сотни реселлеров, торгующих их сертификатами? Если в цепочке может быть один сертификат, подписанный другим и оба они не являются корневыми доверенными - изначальный вопрос был как сделать так чтобы своим сертификатом можно было подписывать другие сертификаты, как минимум для субдоменов?
See certificate extensions (basic constraints). Basic Constraints identifies if the subject of certificates is a CA who is allowed to issue child certificates.
For a certificate that can be used to sign certificates, the info is in some sense duplicated:
X509v3 Basic Constraints: CA: TRUE --- Can sign certificates
X509v3 Key Usage: Key Cert Sign --- Can sign certificates
But "Basic Constraints" will also specify the maximum depth of valid certification chain.
Though it is duplicated, you need to specify both, according to RFC 3280.
Причем тут самый умный? Это что монополия у 3-4 фирм и еще сотни реселлеров, торгующих их сертификатами?
Конечно нет.
Ставьте свой центр сертификации, попросите добавить ваш коренной сертификат во все современные браузеры и устройства и вуаля - вы можете делать свои сертификаты.
Metal_Messiah, Андрейка правильно вам сказал, но как всегда в "своем духе" )))))
Шифрование по сути вам может обеспечить и Self Signed сертификат который вы подпишите без какого либо пути сертификации самостоятельно, а вот что бы браузеры "хавали" ваши сертификаты, в браузере должны быть установлены ваши корневые сертификаты..... По этому если делаете "для себя" можно вообще не париться, если хотите дать доступ клиентам - придется или WildCard покупать или таки какой-то Free сертификат, так будет проще чем создавать свой центр сертификации )))
Понятно. Значит если я когда-то захочу сделать свой центр сертификации, то нужно будет договариваться с разработчиками браузеров. Или недо-браузеров типа Amigo xD
Думал что если сертификатом можно подписать сертификат то значит можно купить сертификат у кого-то и им подписывать другие. А нет, все таки монополия :)
Думал что если сертификатом можно подписать сертификат то значит можно купить сертификат у кого-то и им подписывать другие. А нет, все таки монополия :)
Было бы все так просто =)
Но на самом деле с появлением Lets Encrypt - вопрос с сертификатами, как по мне отпал.
По крайней мере можно получить его бесплатно, и не парится о продлении.