Estou tentando obter um ambiente seguro válido para que a comunicação HTTP se comporte como normal. Estou fazendo isso para um grupo restrito de usuários.
Existe um servidor de hardware executando um serviço web (nginx). O OpenSSL está instalado nesta máquina e também o estou usando como CA. Criei o certificado CA raiz e assinei um certificado para o serviço da Web que o utiliza. Em seguida, forneci o certificado CA raiz para umusuário confiável(outro PC controlado por mim) e foi importado para o Firefox como uma autoridade confiável.
Quase tudo funciona bem (o serviço HTTPS está acessível e oavisopágina não aparece), mas recebo umazulstatus (a primeira coisa na barra de endereço, antes de https://... ) do serviço informando:
Youy are connected to
example.com
which is run by
(unknown)
Verified by: MyCA Company
Outros sites HTTPS mundialmente conhecidos, como addons.mozilla.com, por exemplo, mostram umverdestatus e eles não têm isso(desconhecido)pedaço de dados. Eles têm lá o nome e a localização da empresa.
É possível fazer com que um ambiente privado seguro personalizado se comporte como um ambiente normal e sejaverde? Se sim, o que deve ser feito para conseguir isso (lado do cliente? lado do servidor?)?
Como uma questão de efeito colateral: onde eu poderia aprender sobre PKI, SSL e tudo isso?de 0 a avançado? ou talvez existam alguns bons livros relacionados a isso?
Agradecemos antecipadamente por qualquer ajuda e respostas.
Responder1
Você não pode – esse é basicamente o raciocínio por trás dos certificados EV (aqueles que fazem a barra de localização ficar verde). Você praticamente teria que corrigir seu navegador ou hackear alguma chave privada de EV-CAs.
Encontrei um tópico noLista de discussão OpenSSLisso explica o problema; você também pode querer dar uma olhada noArtigo da Wikipédiasobre o que é toda essa validação estendida.
Quanto à sua pergunta secundária: todo o material PKI e SSL é terrivelmente complexo. Eu encontrei umartigoisso explica parte da teoria por trás da construção de sua própria PKI, mas está longe de ser um bom tutorial "do zero ao avançado". Então há, claroRFC 5280, mas isso faz com que algunsmuitoleitura pesada. Mas pelo menos é o padrão oficial, pelo que vale a pena.