servidor web y los CERT incrustado
https://stackoverflow.com/questions/744613
-
09-09-2019 - |
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianPregunta
Tengo una aplicación con un servidor web incorporado. Este servidor web puede hacer ahora SSL a través del paquete OpenSSL:)
Ahora la cuestión cert. Esta aplicación se vende, lo que digo porque no está sentado en un servidor que poseo - que se instala en miles de ordenadores. Quiero que mis clientes estén seguros, así que quiero que utilicen SSL manera menos dolorosa posible. En este momento nosotros creamos nuestra propia CA, a continuación, crear certs de firma propia. Esto significa que todos nuestros clientes (y sus usuarios) que o bien instalar su costumbre, CA específica de la instalación, o vivir con la advertencia de que no se confía raíz de la cert, ninguno de los cuales son atractivos.
¿Cómo desplazarse por eso?
o bien tendrá que:
- Que sea muerto-fácil de instalar nuestra CA (¿Qué navegadores deliberadamente hacer bastante difícil - un montón de mensajes de advertencia scarey)
- De alguna manera conseguir todos esos clientes certs legítimamente firmado por una CA reconocida navegador.
- Forzar el cliente para ir a comprar su propio certificado e instalarlo
No veo cómo vamos a hacer # 1, por lo que estamos buscando en el # 2. # 3 es más o menos fuera de la cuestión.
Se nos ocurre que solo se podía comprar un certificado SSL, y enviarlo con nuestro producto - Sí, todo el mundo está utilizando el mismo certificado y el certificado y la clave privada podríamos / estaríamos filtrado en el dominio público .. . hmmm ... probable que no quieren nuestro nombre en que por el bien de la responsabilidad ...
Creo que el problema es que estamos trabajando en contra de la finalidad de las CA en el primer lugar. ¿Alguna idea sobre cómo hacer esto fácil y seguro para el usuario? (Suponga man-in-the-middle no son una preocupación - ha sido una vez hecho documentado ??)
Solución
No hay una solución fácil a este sencillo. Si esto era fácil de resolver la seguridad del sistema de certificado SSL sería pobre.
Como usted ha dicho, sus opciones son limitadas en cuanto a la forma de evitar las advertencias del navegador. Cada enfoque podría ser bueno dependiendo de la aplicación.
1. Raíz de instalación de CA en los navegadores de los clientes
Esta es una solución razonable si la aplicación se utiliza internamente o si se espera que los clientes instalar algo para utilizar la aplicación. Esta es, probablemente, también la solución de menor coste, ya que no es necesario ningún gasto adicional. Sin embargo, si la aplicación va a ser utilizado por la población en general, entonces esto no es una solución razonable.
2. Comprar un certificado firmado de CA raíz comercial
Si su solicitud está abierto a Internet, lo más probable es necesario. Sin embargo, si usted está vendiendo la aplicación en lugar de simplemente ofrecer sus servicios, esto podría no ser bueno por razones de responsabilidad como usted ha mencionado.
3. Obtener cliente para comprar su propia raíz comercial CA certificado firmado
Si se está vendiendo su aplicación para ser utilizado por los clientes, esto es probablemente razonable. Usted puede ofrecer la aplicación utilizando un certificado autofirmado como una opción de base, y ofrecer a sus clientes a usar su certificado si así lo desean. Muchas empresas ya tienen certificados SSL para sus sitios.
