W dniu 2012-12-23 19:55, Piotr B. (pb2004) pisze:
>
> Nie wiem o czym piszesz. Jakie oddzielne IP? Co ma w ogóle IP do
> certyfikatu serwera? Certyfikat jest wystawiany dla domen/grup domen.
No właśnie to mam na myśli. Jeśli mam certyfikat na główną domenę
serwera a z czasem klienci własne domeny "dopisują" do listy
obsługiwanych, to musiałbym przy każdej nowej domenie płacić za nowy
certyfikat. Przy setkach domen fortuna by na to poszła :-) M.in. dlatego
wystawiam jeden certyfikat a klienci korzystajÄ…cy z szyfrowania na
swoich domenach widzą alert o niezgodności certyfikatu.
A co ma IP do certyfikatu? To, że tylko jeden certyfikat SSL może być na
danym numerze IP i tylko dla jednej domeny.
A tak na marginesie: nie słyszałem o certyfikatach wystawianych na
"grupę domen". Oczywiście nie mówimy o subdomenach tylko o domenach. W
Certum nie mają takiej usługi. Jaka organizacja ją świadczy? Zapewne
fortunÄ™ to kosztuje ...
> Np. Wikipedia ma wystawiony dla *.wikipedia.org. I tak certyfikat jest
> dla konkretnej domeny i przeglądarka nie powinna umożliwiać ignorowanie
> faktu niezgodności tejże.
Ok, a teraz wyobraź sobie sytuację, że Wiki chciałaby mieć domenę
wiki.org Czy pójdzie ta domena na certyfikacie wikipedia.org?
Oczywiście, że nie. Aby to zadziałało musieliby zapłacić za nowy
certyfikat i wystawić na innym IP nową domenę. A jeśli tego nie zrobią,
to ja jako klient, ufajÄ…cy organizacji Wikipedia pod nowÄ… domenÄ… bo np.
jej szefem jest mój kumpel, chciałbym mieć możliwość ignorowania
niezgodności certyfikatu z domeną zamiast 50x dziennie zamykać okno
ostrzeżenia.
>
> To zależy co chcesz osiągnąć. Zresztą nie wiem co to ma wspólnego z
> prawidłowym zachowaniem przeglądarki. Przeglądarka nie powinna
> umożliwiać dodawania wyjątków. Chcesz aby nie było ostrzeżeń dodaj
> certyfikat wystawcy do zaufanych w systemowym magazynie certyfikatów.
No i dotarliśmy do sedna. JAK mam tego dokonać pod IE10??? Krok po kroku
poproszÄ™. NawiÄ…zujÄ™ teraz do mojej wypowiedzi, cytujÄ™:
"zniknęła opcja dodawania certyfikatu do zaufanych"
> Tak, należy mu utrudnić maksymalnie jak się da. Zaufanie do serwera to
> poważna sprawa nie zabawa w dwa kliki myszą w celu utworzenia wyjątku
> dla losowego certyfikatu serwera.
Certyfikat nie jest losowy lecz wystawiony na moją domenę, znaną każdemu
klientowi. Klient może sobie w szczegółach wyczytać zanim doda wyjątek.
Ale niezależnie od wszystkiego czy uważasz, że klient powinien spotkać
siÄ™ z odmowÄ… wpuszczenia go na takÄ… stronÄ™? Bo taka sytuacja ma miejsce
również (pisałem o tym wcześniej).
Received on Mon 24 Dec 2012 - 00:25:02 MET
To archiwum zosta³o wygenerowane przez hypermail 2.2.0 : Mon 24 Dec 2012 - 00:42:01 MET