Como configuro meu sistema para confiar em uma autoridade de certificação para um subconjunto específico de domínios?

2

A empresa em que trabalho possui vários serviços da Web internos acessíveis por HTTPS. Esses serviços usam certificados SSL / TLS assinados por uma autoridade de certificação interna que é confiável apenas por computadores emitidos por minha empresa. Ocasionalmente, preciso acessar esses serviços do meu computador pessoal em casa. Compreensivelmente, isso aciona um aviso de segurança do meu navegador. Até agora, apenas ignorei esses avisos, mas recentemente comecei a me sentir um pouco desconfortável com essa prática, pois deixa minha conexão vulnerável ao homem nos ataques do meio.

Como solução para esse problema, quero confiar no certificado raiz usado pela minha empresa no meu computador em casa. De acordo com o princípio do menor privilégio, no entanto, só quero que a CA seja confiável para domínios que minha empresa controla, por exemplo, * .internal.examplecompany.com. Como posso fazer isso? O principal computador que estou interessado em configurar dessa maneira está executando o Ubuntu 12.04 LTS. (Também estou interessado em fazer isso em outros dispositivos com Windows 8 e Android, mas não perguntarei sobre eles no momento para evitar que essa questão seja muito ampla.)

ubuntu  security  ssl  certificate  tls 
Ajedi32
fonte
Ajedi32

Respostas:

2

Simplesmente não há nenhum recurso embutido em navegadores padrão ou clientes SSL para permitir isso. Basicamente, uma autoridade de certificação é totalmente confiável ou não é totalmente confiável.

Suponho que seja possível que exista algum tipo de plugin para permitir isso, mas não conheço nenhum.

Zoredache
fonte
0

Ocasionalmente, preciso acessar esses serviços do meu computador pessoal em casa.

Depende do software que utiliza os serviços. No caso de navegadores ....

Quero confiar no certificado raiz usado pela minha empresa no meu computador em casa. De acordo com o princípio do menor privilégio, no entanto, só quero que a CA seja confiável para domínios que minha empresa controla, por exemplo, * .internal.examplecompany.com. Como posso fazer isso?

Você não pode. O modelo de segurança do navegador (é algo real) gira em torno do CA Zoo, onde qualquer autoridade de certificação pode certificar qualquer site (mesmo que seja a autoridade de certificação errada). Claramente, não há interesse em mudar esse modelo. Da proposta: marcando HTTP como não seguro :

Pergunta em aberto: você acha que os navegadores oferecerão suporte a um modelo diferente do CA Zoo para obter confiança de raiz?

E a resposta da equipe do Chromium Proposta: Marcando o HTTP como não seguro :

O Chromium não tem planos para isso

jww
fonte
Você poderia fornecer um link para mais informações sobre o modelo do CA Zoo? Google não tem sido muito útil em transformar-se informações sobre isso para mim ...
Ajedi32
Ao utilizar nosso site, você reconhece que leu e compreendeu nossa Política de Cookies e nossa Política de Privacidade.
Licensed under cc by-sa 3.0 with attribution required.