SSL/TLS kérdések - Fototrend Hozzászólások

LOGOUT témák

PROHARDVER! témák

Mobilarena témák

IT café témák

GAMEPOD témák

Új hozzászólás Aktív témák

#4 samujózsi senior tag samujózsi #1

Új Válasz 2020-02-23 01:18:44 #4
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

samujózsi

senior tag

válasz samujózsi #1 üzenetére

Jól elbeszélgetek magammal...
Amikor a google-t kértem, hogy segítsen, nem jött hasznos találat. Most megpróbáltam a security.stackexchange.com-on feldobni, hátha valaki tud rá válaszolni és kiderült, hogy már más is érdeklődött e témában:
https://security.stackexchange.com/questions/31376/can-i-restrict-a-certification-authority-to-signing-certain-domains-only
Összefoglalva: NEM. DE. Talán.
Eredetileg nem volt ilyen opció, később került be a Name Constraints Extension, ezzel elvileg korlátozható egy intermediate CA jogköre.
#3 samujózsi senior tag

Új Válasz 2020-02-19 22:56:27 #3
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

samujózsi

senior tag

Nem találok választ arra sem, hogy a Distinguished_name paraméter milyen mezőket tartalmazhat. Nem tudom, akik a tutorialokat írták, honnan vették pl. azt, hogy beírható ide commonName, domainComponent stb. (és itt a hangsúly a stb-n van)
A distinguished name fogalmát még az LDAP környékéről ismerem, de ott, amennyire emlékszem, teljesen szabad kezet kaptam, hogy milyen mezőneveket használok, talán definiálni kellett hozzá egy saját OID-t(?). Itt viszont kötött mezőnevek vannak, csak listát nem találok róluk.
#2 samujózsi senior tag

Új Válasz 2020-02-19 21:20:17 #2
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

samujózsi

senior tag

Na ezt sem értem: eddig úgy tudtam, a CRL helyett az OCSP a jövő ami a tanúsítványok érvényességének (visszavonásának) ellenőrzését illeti.
Ehhez képest az OCSP wikipedia oldalán ezt olvasom:
However, Google Chrome is an outlier. Google disabled OCSP checks by default in 2012, citing latency and privacy issues[13] and instead uses their own update mechanism to send revoked certificates to the browser.[14]

Ezt úgy értsem, hogy a Google ebben sem túl szabványkövető, mint anno a MS mondjuk a html kapcsán?
#1 samujózsi senior tag

Új Válasz 2020-02-10 07:39:56 #1
Új hozzászólás
Összes hozzászólása itt Válaszok az összes hozzászólására itt Válaszok erre a hozzászólásra

samujózsi

senior tag

Pár hete nézegetek saját root CA létrehozásával kapcsolatos tutorialokat, doksikat, de rendszeresen belefutok olyan dolgokba, amiket ezek alapján nem értek. Kerestem e célra szolgáló topic-ot, de egyet sem találtam, hát nyitok egyet. Legfeljebb ez is eltűnik a süllyesztőben.
Az első problémám elméleti jellegű: az openssl.cnf fájlban meg lehet adni egy policy-t, pl arra, hogy a DN mely paramétereit kötelező megadni, melyeknek kell egyezniük a CA cert saját paramétereivel. Viszont az nem világos számomra, hogy ezzel saját magamat tudom csak korlátozni, vagy a saját rootCA által készített, intermediate CA számára kiállított tanúsítványban is rögzíthetem, hogy milyen paraméterekkel rendelkező tanúsítványt írhat alá?
Magyarán meg tudom-e akadályozni, hogy a saját rootCA-m által hitelesített intermediate CA a google.com-hoz állítson ki tanúsítványt?