Estoy intentando conseguir un entorno seguro válido para que la comunicación HTTP se comporte como las normales. Estoy haciendo esto para un grupo restringido de usuarios.
Hay un servidor de hardware que ejecuta un servicio web (nginx). OpenSSL está instalado en esta máquina y también lo estoy usando como CA. Creé el certificado de CA raíz y firmé un certificado para el servicio web que lo utiliza. Luego proporcioné el certificado de CA raíz a unusuario de confianza(otra PC controlada por mí) y se importó a Firefox como una autoridad confiable.
Casi todo funciona bien (el servicio HTTPS es accesible y eladvertenciala página no aparece), pero me sale unazulestado (lo primero en la barra de direcciones, antes de https://... ) del servicio que indica:
Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company
Otros sitios HTTPS mundialmente conocidos como addons.mozilla.com, por ejemplo, muestran unaverdeestado y no tienen esto(desconocido)pedazo de dato. Allí tienen el nombre y la ubicación de la empresa.
¿Es posible conseguir que un entorno privado y seguro se comporte como uno normal y seaverde? En caso afirmativo, ¿qué se debe hacer para obtener esto (¿del lado del cliente? ¿del lado del servidor?).
Como pregunta secundaria: ¿dónde podría aprender sobre PKI, SSL y todo esto?de 0 a avanzado? ¿O tal vez hay algunos buenos libros relacionados con esto?
Gracias de antemano por cualquier ayuda y respuestas.
Respuesta1
No puedes, ese es básicamente el razonamiento detrás de los certificados EV (aquellos que hacen que la barra de direcciones se vuelva verde). Prácticamente tendrías que parchear tu navegador o hackear alguna clave privada de EV-CA.
He encontrado un hilo en elLista de correo OpenSSLeso explica el problema; es posible que también quieras mirar elArtículo de Wikipediasobre qué es todo este asunto de la validación extendida.
En cuanto a su pregunta paralela: todo el asunto de PKI y SSL es terriblemente complejo. he encontrado unartículoeso explica parte de la teoría detrás de la construcción de su propia PKI, pero está lejos de ser un buen tutorial "de cero a avanzado". Luego hay por supuestoRFC 5280, pero esto hace que algunosmuylectura pesada. Pero al menos es el estándar oficial, por lo que vale.