Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:kb83rq$hgp$1_at_node1.news.atman.pl...
>
>W dniu 2012-12-23 19:55, Piotr B. (pb2004) pisze:
>
>>
>> Nie wiem o czym piszesz. Jakie oddzielne IP? Co ma w ogóle IP do
>> certyfikatu serwera? Certyfikat jest wystawiany dla domen/grup domen.
>
>No właśnie to mam na myśli. Jeśli mam certyfikat na główną domenę serwera a
>z czasem klienci własne domeny "dopisują" do listy obsługiwanych, to
>musiałbym przy każdej nowej domenie płacić za nowy certyfikat. Przy setkach
>domen fortuna by na to poszła :-) M.in. dlatego wystawiam jeden certyfikat
>a klienci korzystajÄ…cy z szyfrowania na swoich domenach widzÄ… alert o
>niezgodności certyfikatu.
>
Litości. Obejrzyj sobie jak to ma zorganizowane np. home.pl lub inna firma
tego typu.
>A co ma IP do certyfikatu? To, że tylko jeden certyfikat SSL może być na
>danym numerze IP i tylko dla jednej domeny.
>
Certyfikat jest dla konkretnej domeny/subdomeny nie adresu ip.
>> Np. Wikipedia ma wystawiony dla *.wikipedia.org. I tak certyfikat jest
>> dla konkretnej domeny i przeglądarka nie powinna umożliwiać ignorowanie
>> faktu niezgodności tejże.
>
>Ok, a teraz wyobraź sobie sytuację, że Wiki chciałaby mieć domenę wiki.org
>Czy pójdzie ta domena na certyfikacie wikipedia.org? Oczywiście, że nie.
>Aby to zadziałało musieliby zapłacić za nowy certyfikat i wystawić na innym
>IP nowÄ… domenÄ™.
Co do certyfikatu, tak musieliby wykupić certyfikat na nową domenę. Co do
drugiego stwierdzenia mylisz siÄ™. Serwery naprawdÄ™ pozwalajÄ… na dodanie tylu
certyfikatów ile Ci się podoba.
> A jeśli tego nie zrobią, to ja jako klient, ufający organizacji Wikipedia
> pod nową domeną bo np. jej szefem jest mój kumpel, chciałbym mieć
> możliwość ignorowania niezgodności certyfikatu z domeną zamiast 50x
> dziennie zamykać okno ostrzeżenia.
>
Poproś swojego kumpla aby stworzył sobie certyfikat root ca i za jego pomocą
utworzył certyfikat ssl dla tej nowej domeny. Jako że mu ufasz to będziesz
mógł dodać ten jego certyfikat wydawcy do zaufanych w magazynach
certyfikatów przeglądarek, które używasz.
>>
>> To zależy co chcesz osiągnąć. Zresztą nie wiem co to ma wspólnego z
>> prawidłowym zachowaniem przeglądarki. Przeglądarka nie powinna
>> umożliwiać dodawania wyjątków. Chcesz aby nie było ostrzeżeń dodaj
>> certyfikat wystawcy do zaufanych w systemowym magazynie certyfikatów.
>
>No i dotarliśmy do sedna. JAK mam tego dokonać pod IE10??? Krok po kroku
>poproszÄ™. NawiÄ…zujÄ™ teraz do mojej wypowiedzi, cytujÄ™:
>
>"zniknęła opcja dodawania certyfikatu do zaufanych"
>
1. Zostań CA i utwórz stosowny certyfikat.
2. Utwórz certyfikat dla danej domeny klienta za pomocą certyfikatu root ca.
3. Poinstruuj klienta jak dodać twój certyfikat root ca do zaufanych
certyfikatów wydawcy.
>
>> Tak, należy mu utrudnić maksymalnie jak się da. Zaufanie do serwera to
>> poważna sprawa nie zabawa w dwa kliki myszą w celu utworzenia wyjątku
>> dla losowego certyfikatu serwera.
>
>Certyfikat nie jest losowy lecz wystawiony na moją domenę, znaną każdemu
>klientowi. Klient może sobie w szczegółach wyczytać zanim doda wyjątek.
Na pewno to zrobi. Bez żadnego powodu przeglądarki utrudniają/uniemożliwiają
tworzenie takich wyjątków.
>Ale niezależnie od wszystkiego czy uważasz, że klient powinien spotkać się
>z odmową wpuszczenia go na taką stronę? Bo taka sytuacja ma miejsce również
>(pisałem o tym wcześniej).
Przypięta strona jako webaplikacja ma wyższe ustawienia zabezpieczeń.
-- Piotr BorkowskiReceived on Mon 24 Dec 2012 - 11:45:02 MET
To archiwum zosta³o wygenerowane przez hypermail 2.2.0 : Mon 24 Dec 2012 - 12:42:01 MET