Ich versuche, eine gültige, gesicherte Umgebung für die HTTP-Kommunikation zu schaffen, damit sie sich wie eine normale Umgebung verhält. Ich mache das für eine eingeschränkte Gruppe von Benutzern.
Es gibt einen Hardwareserver, auf dem ein Webdienst (nginx) läuft. Auf diesem Rechner ist OpenSSL installiert und ich verwende es auch als CA. Ich habe das Stamm-CA-Zertifikat erstellt und damit ein Zertifikat für den Webdienst signiert. Dann habe ich das Stamm-CA-Zertifikat an einenvertrauenswürdiger Benutzer(ein anderer PC, der von mir gesteuert wird) und es wurde als vertrauenswürdige Autorität in Firefox importiert.
Fast alles funktioniert einwandfrei (der HTTPS-Dienst ist zugänglich und dieWarnungSeite erscheint nicht), aber ich bekomme eineBlauStatus (das erste in der Adressleiste vor https://...) des Dienstes mit der Angabe:
Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company
Andere weltweit bekannte HTTPS-Sites wie addons.mozilla.com zeigen beispielsweise eineGrünStatus und sie haben diese(Unbekannt)Datenelement. Sie haben dort den Firmennamen und den Standort.
Ist es möglich, eine benutzerdefinierte private, gesicherte Umgebung zu erhalten, die sich wie eine normale Umgebung verhält undGrün? Wenn ja, was muss getan werden, um dies zu erreichen (clientseitig? serverseitig?)?
Als Nebenfrage: Wo kann ich etwas über PKI, SSL und all das Zeug lernen?von 0 bis fortgeschritten? oder gibt es vielleicht einige gute Bücher zu diesem Thema?
Vielen Dank im Voraus für jede Hilfe und Antwort.
Antwort1
Das geht nicht – das ist im Wesentlichen die Begründung für die EV-Zertifikate (die, die die Standortleiste grün färben). Sie müssten praktisch Ihren Browser patchen oder den privaten Schlüssel eines EV-CAs hacken.
Ich habe einen Thread gefunden auf derOpenSSL-Mailinglistedas erklärt das Problem; vielleicht möchten Sie auch einen Blick auf dieWikipedia-Artikeldarüber, was dieser ganze erweiterte Validierungskram ist.
Was Ihre Nebenfrage betrifft: Das ganze PKI- und SSL-Zeug ist furchtbar komplex. Ich habe eineArtikeldas erklärt einige der Theorien hinter dem Aufbau einer eigenen PKI, aber das ist alles andere als ein nettes Tutorial „von Null bis Fortgeschrittene“. Dann gibt es natürlichRFC 5280, aber das macht einigesehrschwere Lektüre. Aber zumindest ist es der offizielle Standard, was auch immer das bedeutet.