Para um servidor de intranet, uso um certificado autoassinado no qual desejo confiar em todo o sistema. Adicionei a exceção de certificado ao Firefox, mas isso não é possível no Chrome, aplicativos de console, IDEs,...
É por isso que quero que o certificado seja confiável em todo o sistema. Pelo que entendi, a forma recomendada é instalá-lo como CA raiz:https://blogs.technet.microsoft.com/sbs/2008/05/08/installing-a-self-signed-certificate-as-a-trusted-root-ca-in-windows-vista/
Pelo que entendi, isso significa que quem controla o certificado autoassinado agora controla uma autoridade raiz que pode assinar certificados forjados paraqualquersite na minha máquina. Isso é verdade e, em caso afirmativo, como posso evitar isso? Eu só quero ter um único servidor de intranet autoassinado, e não potencialmente todos os serviços que uso.
Qual é a maneira recomendada de lidar com o TLS da intranet aqui?
Responder1
Se o servidor estiver sob seu controle:
- Criar umrealCA raiz (por exemplo, com função easy-rsa ou Xca ou Windows Server CA).
- Substitua o certificado de servidor autoassinado por um emitido pela sua CA personalizada.
- Certifique-se de que o certificado que você acabou de emitir esteja realmente marcado como um certificado "folha"/"entidade final". Procure a extensão "X.509v3 Basic Constraints" – ela deve estar presente e dizer "CA: FALSE".
- Instale o certificado raiz da CA personalizada em seu computador.
- Armazene com segurança a chave privada da CA para que ela só fique acessível sempre que você precisar emitir um novo certificado.
Como o certificado do servidor contém "Restrições Básicas: CA: FALSE", ele não poderá emitir novos certificados utilizando apenas sua própria chave.
(A razão pela qual você precisa que a CA seja separada é porque a instalação direta do certificado autoassinado do servidor na pasta "CA confiável" pode fazer com que o sistema ignore as restrições básicas - afinal, ele está instalado como uma autoridade. A separação evita esse problema, porque você pode proteger as chaves raiz da CA.)
Como bônus, você não precisará confiar novamente no certificado do servidor quando ele expirar ou quando seu nome mudar – basta usar a mesma CA raiz para emitir um novo certificado.