1. घर
  2. सवाल और जवाब
  3. उन्नत एसएसएल: माध्यमिक प्रमाणन प्राधिकारी और तैनाती एम्बेडेड बक्से

उन्नत एसएसएल: माध्यमिक प्रमाणन प्राधिकारी और तैनाती एम्बेडेड बक्से

2011-08-25 13 views
5

ठीक उन्नत एसएसएल लड़कियों और लड़कों - मैं दो दिन की अवधि के बाद यह करने के लिए एक इनाम के रूप में जोड़ने होंगे मुझे लगता है कि यह एक जटिल विषय है कि जो कोई सोच समझकर के लिए एक पुरस्कार के हकदार है जवाब।उन्नत एसएसएल: माध्यमिक प्रमाणन प्राधिकारी और तैनाती एम्बेडेड बक्से

मान्यताओं यहाँ से कुछ बस हैं कि: मान्यताओं, या अधिक सटीक उम्मीद अनुमान। इस मस्तिष्क-टीज़र पर विचार करें, बस यह कहें कि 'यह संभव नहीं है' बिंदु गुम है।

वैकल्पिक और आंशिक समाधान स्वागत, व्यक्तिगत अगर आप कुछ 'समान' किया है अनुभव कर रहे हैं। मैं इससे कुछ सीखना चाहता हूं भले ही मेरी पूरी योजना खराब हो।

यहाँ परिदृश्य है:

मैं एक एम्बेडेड Linux सिस्टम पर विकासशील कर रहा हूँ और इसके वेब सर्वर आउट-ऑफ-द-बॉक्स, कोई परेशानी एसएसएल सेवा करने के लिए सक्षम होना चाहते हैं। यहाँ डिजाइन मानदंडों मैं के लिए लक्ष्य कर रहा हूँ है:

अमीर:

  • मैं उपयोगकर्ता अपने ब्राउज़र के लिए अपने देसी CA प्रमाणपत्र जोड़ने
  • मैं उपयोगकर्ता नहीं हो सकता है नहीं हो सकता अपने ब्राउज़र
  • करने के लिए एक स्थिर उत्पन्न (MFG समय) स्व-हस्ताक्षरित प्रमाणपत्र जोड़ने मैं उपयोगकर्ता अपने ब्राउज़र के लिए एक गतिशील रूप से उत्पन्न (बूट समय पर) स्व-हस्ताक्षरित प्रमाणपत्र जोड़ने नहीं हो सकता।
  • मैं HTTP पर डिफ़ॉल्ट नहीं हो सकता और SSL के लिए सक्षम/अक्षम टॉगल कर सकता हूं। यह एसएसएल होना चाहिए।
  • दोनों एम्बेडेड बॉक्स और वेब ब्राउज़र ग्राहक या इंटरनेट का उपयोग नहीं कर सकते हैं तो इंटरनेट एक्सेस के बिना सही ढंग से कार्य ग्रहण किया जाना चाहिए सकता है। एकमात्र रूट सीए जिन पर हम भरोसा कर सकते हैं वे ऑपरेटिंग सिस्टम या ब्राउज़र के साथ भेजे जाते हैं। आइए दिखाएं कि यह सूची 'मूल रूप से' ब्राउज़र और ऑपरेटिंग सिस्टम पर समान है - यानी अगर हम उन पर भरोसा करते हैं तो हमारे पास ~ 90% सफलता दर होगी।
  • मैं एक फ्लाई-बाई-रात आपरेशन उदाहरण के लिए 'फास्ट एडी के SSL प्रमाणपत्र क्लियरिंग हाउस का उपयोग नहीं कर सकते हैं - कीमतें इस कम हमारे सर्वर को हैक कर लिया जाना चाहिए के साथ! '

अमीर अच्छा लगा:

  • मैं उपयोगकर्ता नहीं करना चाहती चेतावनी दी कि प्रमाण पत्र का होस्ट ब्राउज़र में होस्ट नाम से मेल नहीं खाता। मैं इसे एक अच्छा मानता हूं क्योंकि यह असंभव हो सकता है।

मत हैं:

  • मैं प्रत्येक बॉक्स के लिए स्थिर चाबियों का एक ही सेट जहाज के लिए नहीं करना चाहती। 'नहीं' सूची द्वारा निहित की तरह, लेकिन मुझे जोखिम पता है।

हां हां, मुझे पता है ..

  • मैं कर सकते हैं और अपने स्वयं के प्रमाणपत्र/कुंजी अपलोड करने के लिए उपयोगकर्ता के लिए एक तंत्र प्रदान करते हैं, लेकिन मैं इस 'उन्नत स्वरूप' पर विचार करने और क्षेत्र से बाहर इस सवाल का। यदि उपयोगकर्ता अपने स्वयं के आंतरिक सीए या खरीद कुंजी रखने के लिए पर्याप्त उन्नत है तो वे बहुत ही अच्छे हैं और मैं उन्हें प्यार करता हूं।

कैप समय में सोच रही थी

SSL के साथ मेरा अनुभव प्रमाणपत्र/कुंजी पैदा कर दिया गया है 'असली' जड़ है, साथ ही मेरी खेल अप कदम से अनुबंध करने वाले अपने ही आंतरिक सीए बनाने के साथ एक छोटा सा , आंतरिक रूप से 'स्वयं हस्ताक्षरित' certs वितरित। मुझे पता है कि आप प्रमाणपत्र प्रमाण पत्र कर सकते हैं, लेकिन मुझे यकीन नहीं है कि संचालन का आदेश क्या है। यानी क्या ब्राउजर 'चलना' श्रृंखला को वैध रूट सीए देखता है और उसे वैध प्रमाण पत्र के रूप में देखता है - या क्या आपको हर स्तर पर सत्यापन करने की आवश्यकता है?

मैं intermediate certificate authority के विवरण में भाग गया जो मुझे संभावित समाधानों के बारे में सोचने लगा। मैं 'बुरा सपना मोड' करने के लिए 'सरल समाधान' से चले गए हैं, लेकिन यह संभव हो जाएगा:

पागल आइडिया # 1

  • एक मध्यवर्ती प्रमाणपत्र प्राधिकारी प्रमाणपत्र द्वारा एक 'असली हस्ताक्षर किए जाओ ' सीए। (आईसीए-1)
    • ROOT_CA -> आईसीए-1
  • यह प्रमाणपत्र निर्माण समय में इस्तेमाल किया जाएगा प्रति बॉक्स एक अद्वितीय passwordless उप मध्यवर्ती प्रमाणपत्र प्राधिकार जोड़ी उत्पन्न करने के लिए।
    • आईसीए-1 -> आईसीए-2
  • उपयोग आईसीए-2 एक अनूठा सर्वर प्रमाणपत्र/कुंजी उत्पन्न करने के। यहां चेतावनी है, क्या आप आईपी के लिए एक कुंजी/जोड़ी उत्पन्न कर सकते हैं (और DNS नाम नहीं?)? यानी इसके लिए एक संभावित उपयोग-मामला उपयोगकर्ता प्रारंभ में http के माध्यम से बॉक्स से कनेक्ट होता है, और फिर क्लाइंट को रीडायरेक्ट यूआरएल में आईपी का उपयोग करके एसएसएल सेवा में रीडायरेक्ट करता है (ताकि ब्राउज़र मेल नहीं खाएगा)। यह वह कार्ड हो सकता है जो घर को नीचे लाता है। चूंकि किसी भी रीडायरेक्ट होने से पहले एसएसएल कनेक्शन स्थापित किया जाना है, इसलिए मैं देख सकता हूं कि यह भी एक समस्या है। लेकिन, अगर यह सब जादुई रूप से
  • काम कर सकता है तो क्या मैं आईसीए -2 का उपयोग कर सकता हूं ताकि बॉक्स में आईपी में किसी भी समय नए प्रमाणपत्र/कुंजी जोड़े उत्पन्न हो सकें ताकि जब वेब सर्वर बैक अप आता है तो उसे हमेशा 'वैध' कुंजी श्रृंखला मिलती है।
    • आईसीए-2 -> सपा-1

ठीक है, तुम तो स्मार्ट

सबसे अधिक संभावना है, मेरे जटिल समाधान काम नहीं करेगा कर रहे हैं - लेकिन यह हो जाएगा अच्छा अगर यह किया। क्या आपको एक ही समस्या है? तुमने क्या किया व्यापार बंद क्या थे?

स्रोत

2011-08-25 synthesizerpatel

+1

क्या आप अभी भी उपयोगकर्ता के ब्राउज़र में निजी रूट सीए या सर्वर स्वयं हस्ताक्षरित प्रमाणपत्र अपलोड करने के लिए सादा HTTP का उपयोग कर सकते हैं? यह सर्वर स्थापना समय पर "एक-क्लिक" (ठीक है, एक नहीं बल्कि बहुत आसान) प्रक्रिया के रूप में किया जा सकता है। क्या "कोई HTTP नहीं, कोई प्रमाण स्थापित नहीं है" वास्तव में होना चाहिए? – blaze

+1

दुर्भाग्यवश 'जरूरी है' एक स्व-हस्ताक्षरित प्रमाण के साथ क्लिक-थ्रू करने के वर्तमान समाधान के बारे में नकारात्मक प्रतिक्रियाओं पर आधारित हैं। लेकिन हमारे कुछ ग्राहक वकालत करने वालों के साथ बोलने के बाद यह स्पष्ट रूप से ग्राहक के कुत्ते की शूटिंग के रूप में बुरा है। यह गधे में दर्द है, और स्वयं हस्ताक्षरित चेतावनी के बारे में फ़ायरफ़ॉक्स के बढ़ते क्रैकी-बूढ़े व्यक्ति के दृष्टिकोण से मदद नहीं करता है। थोड़ी सी चीजें जो मुझे सितारों के लिए शूटिंग कर रही हैं, वहां एक बेहतर तरीका होना चाहिए। auth_digest इसे हल नहीं करता है, एसआरपी-टीएलएस कुछ पहलुओं के करीब आता है लेकिन समर्थन के संबंध में यह अभी भी खून बह रहा है। – synthesizerpatel

उत्तर

6

असल में, नहीं, आप इस तरह से ऐसा नहीं कर सकते जिस तरह से आप उम्मीद करते हैं।

आप मध्यवर्ती एसएसएल प्राधिकरण नहीं हैं, और आप एक बनने का जोखिम नहीं उठा सकते हैं। यहां तक ​​कि यदि आप थे, तो नरक में कोई रास्ता नहीं है, आपको किसी भी डोमेन के लिए नए वैध प्रमाणपत्र बनाने के लिए आवश्यक सभी उपभोक्ताओं को वितरित करने की अनुमति होगी, सभी ब्राउज़रों में डिफ़ॉल्ट रूप से विश्वसनीय। यदि यह संभव था, तो पूरी प्रणाली कमजोर हो जाएगी (नहीं कि इसमें पहले से ही समस्याएं नहीं हैं)।

आम तौर पर आप सार्वजनिक अधिकारियों को आईपी पते पर जारी प्रमाणपत्रों पर हस्ताक्षर करने के लिए नहीं मिल सकते हैं, हालांकि तकनीकी रूप से इसे रोकने से कुछ भी नहीं है।

ध्यान रखें कि यदि आप वास्तव में किसी भी चीज़ में निजी कुंजी वितरित कर रहे हैं लेकिन छेड़छाड़ वाले सुरक्षित क्रिप्टो मॉड्यूल हैं, तो आपके डिवाइस वास्तव में SSL द्वारा सुरक्षित नहीं हैं। कोई भी जिसके पास डिवाइस है, वह निजी कुंजी खींच सकता है (विशेष रूप से यदि यह पासवर्ड रहित है) और अपने सभी उपकरणों पर वैध, हस्ताक्षरित, एमआईटीएम हमले करता है। आप अनौपचारिक छिपाने की हतोत्साहित करते हैं, लेकिन यह इसके बारे में है।

आपका सबसे अच्छा विकल्प शायद एक वैध इंटरनेट सबडोमेन के लिए प्रमाण पत्र प्राप्त करने और हस्ताक्षर करने के लिए है, और उसके बाद डिवाइस को उस सबडोमेन के उत्तर देने के लिए मिलता है। यदि यह आउटगोइंग पथ में एक नेटवर्क डिवाइस है, तो आप शायद डोमेन के लिए उत्तर देने के लिए कुछ रूटिंग जादू कर सकते हैं, इसी तरह से कितने दीवार वाले बगीचे सिस्टम काम करते हैं। आपके पास प्रत्येक सिस्टम के लिए "system432397652.example.com" जैसा कुछ हो सकता है, और उसके बाद उस सबडोमेन से संबंधित प्रत्येक बॉक्स के लिए एक कुंजी उत्पन्न करें। डोमेन पर प्रत्यक्ष आईपी एक्सेस रीडायरेक्ट करें, और या तो बॉक्स में अनुरोध को अवरुद्ध करें, या इंटरनेट पर कुछ DNS ट्रिकरी करें ताकि डोमेन प्रत्येक क्लाइंट के लिए सही आंतरिक आईपी को हल कर सके। इसके लिए एक एकल उद्देश्य होस्ट डोमेन का उपयोग करें, अपनी अन्य व्यावसायिक वेबसाइटों के साथ साझा न करें।

प्रमाण पत्र के लिए और अधिक भुगतान करना वास्तव में उन्हें कम या ज्यादा कानूनी नहीं बनाता है। जब तक एक कंपनी रूट सीए बन गई है, यह एक फ्लाई-बाय-नाइट ऑपरेशन से बहुत दूर है। आपको जांचना चाहिए और देखना चाहिए कि StartSSL आपकी आवश्यकताओं के लिए सही है, क्योंकि वे प्रति-प्रमाणपत्र आधार पर शुल्क नहीं लेते हैं।

स्रोत

2011-08-25 20:48:55

+0

'केवल भौतिक हार्डवेयर के रूप में सुरक्षित' के मामले में, मैं स्वीकार करूंगा कि मैं उस पहलू से सहमत हूं और समझता हूं। अनन्य कुंजियों की इच्छा परिदृश्य से बचने के लिए है जहां यह प्रत्येक बॉक्स पर तैनात एक वैध प्रमाण/कुंजी है (जिसके परिणामस्वरूप होस्ट मिस्चैच समस्या होती है) क्योंकि एक बार जब आप एक बॉक्स से निजी हो जाते हैं तो आप प्रत्येक बॉक्स को डिक्रिप्ट कर सकते हैं। मध्यवर्ती प्रमाण लागत के संबंध में - मैंने कुछ हद तक अनुमान लगाया कि यह मामला होगा। मेरी इच्छा है कि ईएफएफ गैर-लाभकारी सीए शुरू करेगी। – synthesizerpatel

+0

यदि आप कम लागत वाले प्रति-सीए की तलाश में हैं, तो आप स्टार्टएसएसएल चाहते हैं (मैंने सोचा था कि आप पहले "फास्ट एडी के ..." सामान के साथ खुदाई कर रहे थे, इसलिए मैंने उनका उल्लेख नहीं किया)। उनका मॉडल आपको सत्यापित करता है, और फिर आपको जितनी जरूरत हो उतनी सीर्ट जारी करने देता है। आपका उपयोग केस शायद उनकी शर्तों के लिए सीमा रेखा है, लेकिन मुझे लगता है कि यह लाइन के ठीक पक्ष पर है। क्या कस्टम सबडोमेन मॉडल आपके उपयोग के मामले में काम करने की संभावना है? –

+1

यह मर चुका है। चूंकि तकनीकी समाधान नहीं है, इसलिए आपको इसे बिक्री या समर्थन में संभालना होगा। किसी को ग्राहक को यह बताना होगा कि एसएसएल विकल्प इस तरह से हैं कि उन्हें एक गैर-हस्ताक्षरित प्रमाण प्राप्त करने के लिए प्रोत्साहित किया जाता है। बिल्ली, मुझे यकीन है कि आप किसी के साथ ऐप में पेश करने के लिए साझेदारी कर सकते हैं और रेफ़रल के रूप में बिक्री का एक टुकड़ा ले सकते हैं। – NotMe

संबंधित मुद्दे

 संबंधित मुद्दे