возможно ли заблокировать определенный TLS CA (центр сертификации) в сети? Например, заблокировать все сертификаты, выданные letsencrypt в моей сети. Есть ли какой-либо IP-адрес или имя хоста для блокировки?
решение1
Вы не можете заблокировать сертификаты, выданные центром сертификации, путем блокировки определенных IP-адресов или имен хостов в своем брандмауэре.
После выдачи сертификата ни сервису, использующему сертификат, ни клиенту, получающему доступ к этому сервису, не требуется контакт с центром сертификации, чтобы использовать сертификат для защиты коммуникаций.
(Это упрощение: например, для проверки статуса отзыва сертификата требуется связаться с центром сертификации, но, насколько мне известно, обычно, когда статус отзыва проверить невозможно, сертификат считается действительным.)
решение2
Если вы хотите заблокировать выдачу сертификатов letsencrypt (или любого другого центра сертификации) для своего домена и вы контролируете свой собственный DNS, то опубликуйте запись CAA в своем домене.
Поэтому, если вы хотите заблокировать все центры сертификации, вы можете добавить такую запись:
example.com. IN CAA 0 issue ";"
Представьте, что у меня есть сервер с 10 виртуальными VPS, работающими на нем, и я хочу заблокировать любой запрос к letsencrypt, чтобы предотвратить проверку сертификатов.
Если вы используете все веб-серверы, вы можете заблокировать вызов HTTP-01, настроив свой веб-сервер на блокировку доступа к /.well-known/acme-challenge/местоположению. Если у вас есть обратный прокси-сервер или веб-фильтр на входящем трафике, вы также можете заблокировать эти URL-адреса там.