kostich Posted November 17, 2008 Posted November 17, 2008 (edited) Есть проблема с сабжем. Задача: 1. Выдавать юзерам персональные серты для доступа 2. Различать юзеров по выданным сертам (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения) 3. Не пускать юзеров с другими цертами (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения) 4. И все это так что бы браузер не ругался Самое дешевое что нашли это церты от верисайна, которые персональные и примерно по 20 баксов за одну штуку. Они прокатывают как и в почтовом клиенте, так и в браузере... но под то и под это надо покупать. Если рассматривать вариант со своим CA, то надо пояснять каждому юзеру как проинсталить сертификат или же сгружать ему какой-то активх компонент под винду или что-то там под линукс... далее оно само прописывает CA в список доверенных и т.д. и т.п., но это всё имеет смысл если как-то по прямому решить нельзя. Если мы все правильно поняли, то без своего CA никак это всё не решить... но как говориться надо бы убедиться что мы все правильно поняли. Есть тут кто с сабжектом сталкивался? ps. что нужно купить для реализации сабжа? или чем бы свой CA подписать... так что бы браузеры не ругались. Edited November 17, 2008 by kostich Вставить ник Quote
nuclearcat Posted November 17, 2008 Posted November 17, 2008 Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит. Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются. Вставить ник Quote
kostich Posted November 17, 2008 Author Posted November 17, 2008 (edited) Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит.Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются. да там не только бразуер... у нас есть RT пропатченная, которая мыло гоняет по S/MIME, а на вебники по сертам подписанным своим CA... как показал полуторогодичный опыт - не у всех технарей любимый почтовый клиент может нормально работать с S/MIME и не все технари могут прописать церты сами... я хочу патчи закинуть на RT для инцидентов, который там совместно с CERT-ом ваяют... следовательно сделать возможность слать и заполнять на ней формы в ней всем, но обсуждать только в режиме максимально исключающим утечки. ps. браузеры на самоподписные церты как ругались так и ругаются... отучить некоторые браузеры невозможно... и на фоне этого пойми там скомпрометировано или нет. Edited November 17, 2008 by kostich Вставить ник Quote
nuclearcat Posted November 17, 2008 Posted November 17, 2008 Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать... Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить Вставить ник Quote
kostich Posted November 17, 2008 Author Posted November 17, 2008 (edited) Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать...Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить Тут уже есть мысль зацепиться за гуглевское OpenID + обычный верисайновский ssl серт. Это даст гарантию того, что при компрометации самого сервиса с него не уплывут учетные записи (включая пароли в каком либо виде) т.к. они на нём не хранятся... жахнуть по сетке такое можно только если скомпрометировать гуглевские службы, что в конкретное локации не шибко сложно, если человек не врубится и не обратит внимание на ругню о недействительности гуглевского церта при логине. Компрометация самого юзера посредством стыривания гуглевской учетки с его компа менее сложная чем стыривание ssl серта... при этом всё всегда можно подлечить доступом конкретного юзера с ограничением по CIDR, но это никак не решает вопроса если человек с винды и на сервис ходят с прокси установленной прямо на его компе. ps. 40 баксов что ли со всех за персональные церты брать... (под S/MIME и персональный SSL)... но это же скока денег верисайну в итоге уйдет. Edited November 17, 2008 by kostich Вставить ник Quote
bitbucket Posted November 17, 2008 Posted November 17, 2008 (edited) я думаю многим полезно будет: http://www.opennet.ru/base/sec/openssl.txt.html - все в принципе описано как делать... Единственное но - у меня opera 9.51 съела p12 сертификат только с опцией -descert при экспорте в p12. Мозилла падает на импорте, хотя через pk12util все сработало, и в мозильнике так же появился сертификат. Как я понял, при генерации можно задать персональные поля для каждого сертификата, по которым можно определять пользователя. Так же там в статье описано, как делать базу недействительных сертификатов (если у кого-то сертификат пинч упер). Хотя я не знаю, зачем так сложно все делать. Я бы проще сделал: купить сертификат на сервер нормальный, подписаный thawte или veirysign, каждому юзеру бумажку (пдфку с паролем) с кучей разовых паролей (как раньше в игрушках было: найдите в документации слово такое-то на странице такой-то), и вперед, авторизация по случайным паролям. Еще немножко написано тут http://www.drh-consultancy.demon.co.uk/pkcs12faq.html Edited November 17, 2008 by bitbucket Вставить ник Quote
nuclearcat Posted November 18, 2008 Posted November 18, 2008 Насколько массовым будет сервис? Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная. Вставить ник Quote
bitbucket Posted November 18, 2008 Posted November 18, 2008 Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная. А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ? Вставить ник Quote
nuclearcat Posted November 18, 2008 Posted November 18, 2008 Работает так же как сертификаты в конечном итоге, но их невозможно спереть трояном. http://times.usefulinc.com/2007/12/03-smartcards-osx Вставить ник Quote
bitbucket Posted November 19, 2008 Posted November 19, 2008 Работает так же как сертификаты в конечном итоге, но их невозможно спереть трояном.Там железку покупать надо... Вставить ник Quote
nuclearcat Posted November 21, 2008 Posted November 21, 2008 Помоему смарткарты могут использоваться как дополнение при работе с сертификатами (т.е. ключ хранится не как файл, а в смарткарте и отдается процедурой только хеш). Вставить ник Quote
chainick Posted December 5, 2008 Posted December 5, 2008 А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ? 1. В USB. 2. http://www.aladdin.ru/support/download/ Насчет покупки верисайн - не стОит. Никакого гемора с самоподписным СА нет, проверено на нескольких тысячах кроликов. Вставить ник Quote
GateKeeper Posted December 5, 2008 Posted December 5, 2008 Его нет, если самоподписанный при регистрации абонента (например, в момент подачи им заявки) CA сертификат ему дать скачать и строго-настрого указать, чтобы добавил его в доверенные корневые. Независимо от природы и происхождения его браузера. Вставить ник Quote
.png.5d2afa2996cc6a85d0f2c09b92dd0a28.png)
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.