W dniu 2012-12-24 11:33, Piotr B. (pb2004) pisze:
> Użytkownik "Marek" napisał w wiadomości grup
> dyskusyjnych:kb83rq$hgp$1_at_node1.news.atman.pl...
>>
>> W dniu 2012-12-23 19:55, Piotr B. (pb2004) pisze:
>>
>>>
>>> Nie wiem o czym piszesz. Jakie oddzielne IP? Co ma w ogóle IP do
>>> certyfikatu serwera? Certyfikat jest wystawiany dla domen/grup domen.
>>
>> No właśnie to mam na myśli. Jeśli mam certyfikat na główną domenę serwera
>> a z czasem klienci własne domeny "dopisują" do listy obsługiwanych, to
>> musiałbym przy każdej nowej domenie płacić za nowy certyfikat. Przy
>> setkach domen fortuna by na to poszła :-) M.in. dlatego wystawiam jeden
>> certyfikat a klienci korzystajÄ…cy z szyfrowania na swoich domenach widzÄ…
>> alert o niezgodności certyfikatu.
>>
>
> Litości. Obejrzyj sobie jak to ma zorganizowane np. home.pl lub inna firma
> tego typu.
>
>> A co ma IP do certyfikatu? To, że tylko jeden certyfikat SSL może być na
>> danym numerze IP i tylko dla jednej domeny.
>>
>
> Certyfikat jest dla konkretnej domeny/subdomeny nie adresu ip.
>
>>> Np. Wikipedia ma wystawiony dla *.wikipedia.org. I tak certyfikat jest
>>> dla konkretnej domeny i przeglądarka nie powinna umożliwiać ignorowanie
>>> faktu niezgodności tejże.
>>
>> Ok, a teraz wyobraź sobie sytuację, że Wiki chciałaby mieć domenę wiki.org
>> Czy pójdzie ta domena na certyfikacie wikipedia.org? Oczywiście, że nie.
>> Aby to zadziałało musieliby zapłacić za nowy certyfikat i wystawić na
>> innym IP nowÄ… domenÄ™.
>
> Co do certyfikatu, tak musieliby wykupić certyfikat na nową domenę. Co do
> drugiego stwierdzenia mylisz siÄ™. Serwery naprawdÄ™ pozwalajÄ… na dodanie tylu
> certyfikatów ile Ci się podoba.
>
>> A jeśli tego nie zrobią, to ja jako klient, ufający organizacji Wikipedia
>> pod nową domeną bo np. jej szefem jest mój kumpel, chciałbym mieć
>> możliwość ignorowania niezgodności certyfikatu z domeną zamiast 50x
>> dziennie zamykać okno ostrzeżenia.
>>
>
> Poproś swojego kumpla aby stworzył sobie certyfikat root ca i za jego pomocą
> utworzył certyfikat ssl dla tej nowej domeny. Jako że mu ufasz to będziesz
> mógł dodać ten jego certyfikat wydawcy do zaufanych w magazynach
> certyfikatów przeglądarek, które używasz.
>
>>>
>>> To zależy co chcesz osiągnąć. Zresztą nie wiem co to ma wspólnego z
>>> prawidłowym zachowaniem przeglądarki. Przeglądarka nie powinna
>>> umożliwiać dodawania wyjątków. Chcesz aby nie było ostrzeżeń dodaj
>>> certyfikat wystawcy do zaufanych w systemowym magazynie certyfikatów.
>>
>> No i dotarliśmy do sedna. JAK mam tego dokonać pod IE10??? Krok po kroku
>> poproszÄ™. NawiÄ…zujÄ™ teraz do mojej wypowiedzi, cytujÄ™:
>>
>> "zniknęła opcja dodawania certyfikatu do zaufanych"
>>
>
> 1. Zostań CA i utwórz stosowny certyfikat.
> 2. Utwórz certyfikat dla danej domeny klienta za pomocą certyfikatu root ca.
> 3. Poinstruuj klienta jak dodać twój certyfikat root ca do zaufanych
> certyfikatów wydawcy.
>
>>
>>> Tak, należy mu utrudnić maksymalnie jak się da. Zaufanie do serwera to
>>> poważna sprawa nie zabawa w dwa kliki myszą w celu utworzenia wyjątku
>>> dla losowego certyfikatu serwera.
>>
>> Certyfikat nie jest losowy lecz wystawiony na moją domenę, znaną każdemu
>> klientowi. Klient może sobie w szczegółach wyczytać zanim doda wyjątek.
>
> Na pewno to zrobi. Bez żadnego powodu przeglądarki utrudniają/uniemożliwiają
> tworzenie takich wyjątków.
>
>> Ale niezależnie od wszystkiego czy uważasz, że klient powinien spotkać się
>> z odmowÄ… wpuszczenia go na takÄ… stronÄ™? Bo taka sytuacja ma miejsce
>> również (pisałem o tym wcześniej).
>
> Przypięta strona jako webaplikacja ma wyższe ustawienia zabezpieczeń.
>
Ej... ja na ten przykład czytam posty z grupy, chcę się czegoś nauczyć.
Zapamiętać inaczej mówiąc. A Wy sobie chyba jaja robicie.
Kiedyś się dało na grupach wyczytać coś sensownego, czegoś nauczyć...
a co mam powiedzieć, teraz :)
Received on Mon 24 Dec 2012 - 15:30:02 MET
To archiwum zosta³o wygenerowane przez hypermail 2.2.0 : Mon 24 Dec 2012 - 15:42:01 MET