डोमेन के एक विशिष्ट सबसेट के लिए CA पर भरोसा करने के लिए मैं अपने सिस्टम को कैसे कॉन्फ़िगर करूं?


2

जिस कंपनी के लिए मैं काम करता हूं, उसके पास HTTPS से अधिक आंतरिक वेब सेवाएँ उपलब्ध हैं। ये सेवाएँ एक आंतरिक प्रमाणपत्र प्राधिकारी द्वारा हस्ताक्षरित SSL / TLS प्रमाणपत्र का उपयोग करती हैं जो केवल मेरी कंपनी द्वारा जारी किए गए कंप्यूटरों द्वारा भरोसेमंद है। कभी-कभी, मुझे घर पर अपने व्यक्तिगत कंप्यूटर से इन सेवाओं तक पहुंचने की आवश्यकता होती है। संभवतः, यह मेरे ब्राउज़र से सुरक्षा चेतावनी को ट्रिगर करता है। अब तक मैं सिर्फ उन चेतावनियों को नजरअंदाज कर रहा हूं, लेकिन हाल ही में मैंने उस अभ्यास के बारे में थोड़ा असहज महसूस करना शुरू कर दिया है क्योंकि यह मेरे कनेक्शन को बीच के हमलों में आदमी के लिए असुरक्षित बनाता है।

इस समस्या के समाधान के रूप में, मैं अपनी कंपनी द्वारा घर पर उपयोग किए गए रूट प्रमाणपत्र पर अपने कंप्यूटर पर भरोसा करना चाहता हूं। हालांकि, कम से कम विशेषाधिकार के सिद्धांत को ध्यान में रखते हुए, मैं केवल यह चाहता हूं कि सीए को मेरी कंपनी के नियंत्रण के लिए डोमेन पर भरोसा किया जाए, उदा। * .Internal.examplecompany.com। मैं यह कैसे कर सकता हूँ? मुख्य कंप्यूटर जिसे मैं इस तरह से कॉन्फ़िगर करने में दिलचस्पी रखता हूं वह Ubuntu 12.04 LTS चला रहा है। (मुझे विंडोज 8 और एंड्रॉइड चलाने वाले अन्य उपकरणों के लिए ऐसा करने में भी दिलचस्पी है, लेकिन इस सवाल को बहुत व्यापक बनाने से बचने के लिए अभी उन लोगों के बारे में नहीं पूछेंगे।)


सम्बंधित: serverfault.com/q/774930/176688
Ajedi32

जवाबों:


2

इसकी अनुमति देने के लिए मानक ब्राउज़र या SSL क्लाइंट में कोई सुविधा नहीं है। मूल रूप से एक CA या तो पूरी तरह से विश्वसनीय है, या बिल्कुल भी विश्वसनीय नहीं है।

मुझे लगता है कि यह संभव हो सकता है कि यह अनुमति देने के लिए किसी प्रकार का प्लगइन है, लेकिन मुझे किसी के बारे में पता नहीं है।


0

कभी-कभी, मुझे घर पर अपने व्यक्तिगत कंप्यूटर से इन सेवाओं तक पहुंचने की आवश्यकता होती है।

यह सॉफ्टवेयर पर निर्भर करता है जो सेवाओं का उपयोग करता है। ब्राउज़रों के मामले में…।

मैं अपनी कंपनी द्वारा घर पर उपयोग किए गए रूट प्रमाणपत्र पर अपने कंप्यूटर पर भरोसा करना चाहता हूं। हालांकि, कम से कम विशेषाधिकार के सिद्धांत को ध्यान में रखते हुए, मैं केवल यह चाहता हूं कि सीए को मेरी कंपनी के नियंत्रण के लिए डोमेन पर भरोसा किया जाए, उदा। * .Internal.examplecompany.com। मैं यह कैसे कर सकता हूँ?

आप नहीं कर सकते। ब्राउज़र सुरक्षा मॉडल (इसकी असली चीज़) सीए ज़ू के आसपास पिवोट्स हैं, जहां कोई भी सीए किसी भी साइट को प्रमाणित कर सकता है (भले ही वह गलत सीए हो)। उस मॉडल को बदलने में स्पष्ट रूप से कोई दिलचस्पी नहीं है। से प्रस्ताव: HTTP को गैर-सुरक्षित के रूप में चिह्नित करना :

खुला प्रश्न: क्या आपको लगता है कि ब्राउज़र एक मॉडल का समर्थन करेंगे   भरोसे की जड़ के लिए CA चिड़ियाघर की तुलना में?

और क्रोमियम टीम से जवाब प्रस्ताव: HTTP को गैर-सुरक्षित के रूप में चिह्नित करना :

क्रोमियम की इसके लिए कोई योजना नहीं है


क्या आप CA चिड़ियाघर मॉडल के बारे में अधिक जानकारी के लिए लिंक प्रदान कर सकते हैं? मेरे लिए जानकारी को चालू करने में Google बहुत मददगार नहीं रहा है ...
Ajedi32
हमारी साइट का प्रयोग करके, आप स्वीकार करते हैं कि आपने हमारी Cookie Policy और निजता नीति को पढ़ और समझा लिया है।
Licensed under cc by-sa 3.0 with attribution required.