Welcome! Log In Create A New Profile

Re: [offtopic] клиентские SSL-сертификаты

Forum List Message List New Topic Print View

Илья Шипицин

July 18, 2016 06:36AM

18 июля 2016 г., 14:03 пользователь Evgeniy Berdnikov <bgx@protva.ru>
написал:

> On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote:
> > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты
> > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что
> > принимает сертификаты, выданные организацией ZZZ. Если это
> > сотрудник, то он сможет передать сертификат, сайт сможет его
> > проверить, принять решение и т. д. Если нет, то будет выдана
> > какая-то страница ??в доступе отказано??.
>
> Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту
> какого-то флага (бита), там нет места для указания развесистых условий
> вроде "в DN сертификата поле OU должно быть непустым и совпадать со
> сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для
> организации ZZZ" сервер не имеет технической возможности.
>
> > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт
> > DEF так, чтобы во время SSL handshake тот тоже сообщал всем
> > браузерам, что принимает сертификаты организации с названием
> > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого
> > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет
> > тупо выдавать единственный установленный сертификат, у которого имя
> > организации совпало?
>
> Соответственно, сайт может лишь попросить сертификат. А что ему вернут
> зависит от того, как ведёт себя браузер. У браузера есть много вариантов
> для выбора, прежде всего спросить юзера, хочет ли он передавать
> клиентский сертификат.
>

Параметр optional_no_ca (1.3.8, 1.2.5) запрашивает сертификат клиента, но
не требует, чтобы он был подписан доверенным сертификатом CA. Это
предназначено для случаев, когда фактическая проверка сертификата
осуществляется внешним по отношению к nginx’у сервисом. Содержимое
сертификата доступно через переменную $ssl_client_cert.

> --
> Eugene Berdnikov
>
> _______________________________________________
> nginx-ru mailing list
> nginx-ru@nginx.org
> http://mailman.nginx.org/mailman/listinfo/nginx-ru
>
_______________________________________________
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Reply Quote

RSS

Subject	Author	Posted
[offtopic] клиентские SSL-сертификаты	Vladislav Shabanov	July 18, 2016 04:06AM
Re: [offtopic] клиентские SSL-сертификаты	Илья Шипицин	July 18, 2016 04:44AM
Re: [offtopic] клиентские SSL-сертификаты	Evgeniy Berdnikov	July 18, 2016 05:04AM
Re: [offtopic] клиентские SSL-сертификаты	Dmitry Ivanov	July 18, 2016 06:04AM
Re: [offtopic] клиентские SSL-сертификаты	Илья Шипицин	July 18, 2016 06:36AM
Re: [offtopic] клиентские SSL-сертификаты	Maxim Dounin	July 18, 2016 08:18AM

Sorry, only registered users may post in this forum.

Click here to login

Online Users

Guests: 184

Record Number of Users: 8 on April 13, 2023

Record Number of Guests: 421 on December 02, 2018