Ограничить X.509 сертификат

Discussion:

(слишком старое сообщение для ответа)

Victor Sudakov

2012-05-03 05:13:49 UTC

Коллеги,

Есть организации, например http://tmsk.gks.ru/ , которые приглашают
ходить к ним по HTTPS, но сертификат у них самоподписанный или
подписанный доморощенным CA.

Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
одной стороны, браузер не ругался при обращении к gks.ru и его
поддоменам, но с другой стороны, не верить данному CA, если он
попробует выдать сертификат например на paypal.com. Это вообще
возможно?

--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/***@fidonet http://vas.tomsk.ru/

Serguei E. Leontiev

2012-05-04 03:10:54 UTC

Permalink

Привет Victor,

От чт, 03 май 2012 09:13:49 в fido7.ru.crypt ты писал:
VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
VS> подписанный доморощенным CA.
VS>
VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
VS> одной стороны, браузер не ругался при обращении к gks.ru и его
VS> поддоменам,

Hа счёт поддоменов, это не от тебя зависит, а от сертификата.

VS> но с другой стороны, не верить данному CA, если он

Если УЦ не веришь, то не стоит его устанавливать в доверенное
хранилище корневых сертификатов.

VS> попробует выдать сертификат например на paypal.com. Это вообще
VS> возможно?

Из платформо-независимых способов:
1. Разделить по пользователям (Mac OSX, Windows, Unix) или по
приложениям (iOS, Android);
2. Proxy привязка, т.е. политика проверки вешается на
межсетевой экран, скажем так работают антивирусы,
контролирующие TLS/SSL соединения и некоторые МЭ (ISA 2006,
ForeFront и др., иными словами можно применить п. 2 для MS
на МЭ, а клиенты просто будут МЭ верить);
3. Других работающих платформено-независмых способов мне
неизвестно, есть неработающие: выпустить доверенный
кросс-сертификат, который, одновременно, ограничить
политикой или TSL;

Однако, для каждой платформы (browser-а) есть уникальные
механизмы:
1. Скажем, Safari сам спросит не желаешь ли ты доверять
данному сертификату для данного узла;
2. У MS есть локальная политика, которая позволяет
устанавливать сертификат сервера в "Trusted People"
(естественно без доверия к УЦ выпустившего этот
сертификат), а так же есть CTL (Certificate Trust List);
3. У FireFox есть "исключения", как аналог локальной политики;
4. Chrome может использовать проверку сертификатов от базовой
ОС (пп. 1 и 2);
и т.п.

--
Успехов, Сергей Леонтьев. E-mail: ***@CryptoPro.ru <http://www.cryptopro.ru>

Victor Sudakov

2012-05-04 10:35:16 UTC

Permalink

Post by Serguei E. Leontiev
VS> Есть организации, например http://tmsk.gks.ru/ , которые приглашают
VS> ходить к ним по HTTPS, но сертификат у них самоподписанный или
VS> подписанный доморощенным CA.
VS>
VS> Как бы ухитриться этот сертификат так установить в браузеры, чтобы с
VS> одной стороны, браузер не ругался при обращении к gks.ru и его
VS> поддоменам,

Прежде всего спасибо за обстоятельный ответ.

Post by Serguei E. Leontiev
Hа счёт поддоменов, это не от тебя зависит, а от сертификата.

Я имел в виду, что если данный CA выдал сертификат сайту в домене
gks.ru, то доверять этому CA, а иначе - нет.

Вот кстати сертификат этого доморощенного CA:
http://tmsk.gks.ru/files/CSTomskstat.crt

Post by Serguei E. Leontiev
VS> но с другой стороны, не верить данному CA, если он
Если УЦ не веришь, то не стоит его устанавливать в доверенное
хранилище корневых сертификатов.

Я совершенно согласен, но не нашел другого способа, как и куда его
централизованно установить, чтобы у пользователей браузеры не ругались
на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.

Post by Serguei E. Leontiev
VS> попробует выдать сертификат например на paypal.com. Это вообще
VS> возможно?

[dd]

Post by Serguei E. Leontiev
2. У MS есть локальная политика, которая позволяет
устанавливать сертификат сервера в "Trusted People"
(естественно без доверия к УЦ выпустившего этот
сертификат), а так же есть CTL (Certificate Trust List);
3. У FireFox есть "исключения", как аналог локальной политики;

Да, механизм исключений как в FireFox тут очень хорошо подходит,
потому что исключение запоминается для сертификата сайта, а не
сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
доменных политик можно централизованно установить сертификат в Trusted
People. Есть только возможность установить в хранилище root CA.
Редактор GPO не дает выбрать другое хранилище:
Loading Image...

--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/***@fidonet http://vas.tomsk.ru/

Serguei E. Leontiev

2012-05-12 12:31:58 UTC

Permalink

Привет Victor,

От пт, 04 май 2012 14:35:16 в fido7.ru.crypt ты писал:
VS> Serguei E. Leontiev wrote:
VS> Я совершенно согласен, но не нашел другого способа, как и куда его
VS> централизованно установить, чтобы у пользователей браузеры не ругались
VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.

Советы относительно настрой МЭ, это не обязательно во всяких там
Dr.Web и Касперских, это тоже может быть централизованно.
Имелось ввиду, возможности некоторых МЭ обеспечивать работу
систем защиты от разглашения (DLP) и антивирусного контроля, для
МЭ от MS:

И HTTPS inspection в TMG
http://www.isaserver.org/tutorials/Outbound-SSL-Inspection-TMG-Firewalls-Pa rt1.html

http://www.isaserver.org/tutorials/Understanding_SSL_bridging_and_tunneling_within_ISA.html

VS> Да, механизм исключений как в FireFox тут очень хорошо подходит,
VS> потому что исключение запоминается для сертификата сайта, а не
VS> сертификата CA. Hо проблема в том, что я не нашёл, как с помощью
VS> доменных политик можно централизованно установить сертификат в Trusted
VS> People. Есть только возможность установить в хранилище root CA.
VS> Редактор GPO не дает выбрать другое хранилище:
VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png

Для Windows 7 и возможно, Vista, на отдельном компьютере это
настраивается в локальной политике, соответственно в политике
домена Windows 2008R2 (2008) это должно быть там же.

Кроме того, политика домена позволяет настраивать файлы, ключи
реестра и прочая, прочая, вплоть до запуска программ, наверное,
если простых путей не будет, то можно будет извратиться.

Помнится, на базе знаний Майкрософт была статьи на тему: "Как
настраивать локальные политики посредством доменных политик"

--
Успехов, Сергей Леонтьев. E-mail: ***@CryptoPro.ru <http://www.cryptopro.ru>

Victor Sudakov

2012-05-12 13:30:12 UTC

Permalink

Post by Serguei E. Leontiev
VS> Я совершенно согласен, но не нашел другого способа, как и куда его
VS> централизованно установить, чтобы у пользователей браузеры не ругались
VS> на https://tmsk.gks.ru/sso/login.aspx. Ключевое слово _централизованно_.
Советы относительно настрой МЭ, это не обязательно во всяких там
Dr.Web и Касперских, это тоже может быть централизованно.
Имелось ввиду, возможности некоторых МЭ обеспечивать работу
систем защиты от разглашения (DLP) и антивирусного контроля, для

Связываться с перехватом HTTPS не хотелось бы.

Post by Serguei E. Leontiev
VS> Hо проблема в том, что я не нашёл, как с помощью
VS> доменных политик можно централизованно установить сертификат в Trusted
VS> People. Есть только возможность установить в хранилище root CA.
VS> http://www.imagepost.ru/images/s/cr/screenshot-395.png
Для Windows 7 и возможно, Vista, на отдельном компьютере это
настраивается в локальной политике, соответственно в политике
домена Windows 2008R2 (2008) это должно быть там же.

Там где это нужно сделать, домен на w2k. Возможно поэтому и такое
ограничение.

Post by Serguei E. Leontiev
Кроме того, политика домена позволяет настраивать файлы, ключи
реестра и прочая, прочая, вплоть до запуска программ, наверное,
если простых путей не будет, то можно будет извратиться.

Hаверное можно и скриптик с certutil.exe прикрутить. Попробую покопать
в этом направлении, спасибо за подсказку насчет "Trusted People".

--
Victor Sudakov, VAS4-RIPE, VAS47-RIPN
2:5005/***@fidonet http://vas.tomsk.ru/