[kostich]

Есть проблема с сабжем.

 

Задача:

 

1. Выдавать юзерам персональные серты для доступа

2. Различать юзеров по выданным сертам (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения)

3. Не пускать юзеров с другими цертами (решается на уровне софта вебсервера или на уровне прикладного из переменных окружения)

4. И все это так что бы браузер не ругался

 

Самое дешевое что нашли это церты от верисайна, которые персональные и примерно по 20 баксов за одну штуку. Они прокатывают как и в почтовом клиенте, так и в браузере... но под то и под это надо покупать. Если рассматривать вариант со своим CA, то надо пояснять каждому юзеру как проинсталить сертификат или же сгружать ему какой-то активх компонент под винду или что-то там под линукс... далее оно само прописывает CA в список доверенных и т.д. и т.п., но это всё имеет смысл если как-то по прямому решить нельзя.

 

Если мы все правильно поняли, то без своего CA никак это всё не решить... но как говориться надо бы убедиться что мы все правильно поняли. Есть тут кто с сабжектом сталкивался?

 

 

ps. что нужно купить для реализации сабжа? или чем бы свой CA подписать... так что бы браузеры не ругались.

Изменено 17 ноября, 2008 пользователем kostich

[nuclearcat]

Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит.

Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются.

[kostich]

Извините, а зачем чтоб браузер не ругался? Ведь основной контингент - технари, и добавить один раз ваш "самодельный" CA в браузер - им труда не составит.

Сейчас проверю - но помоему процедура прописывания CA в браузере - тривиальна. Вебмани например пользуются самодельными сертификатами - и особо не дергаются.

да там не только бразуер... у нас есть RT пропатченная, которая мыло гоняет по S/MIME, а на вебники по сертам подписанным своим CA... как показал полуторогодичный опыт - не у всех технарей любимый почтовый клиент может нормально работать с S/MIME и не все технари могут прописать церты сами... я хочу патчи закинуть на RT для инцидентов, который там совместно с CERT-ом ваяют... следовательно сделать возможность слать и заполнять на ней формы в ней всем, но обсуждать только в режиме максимально исключающим утечки.

 

ps. браузеры на самоподписные церты как ругались так и ругаются... отучить некоторые браузеры невозможно... и на фоне этого пойми там скомпрометировано или нет.

Изменено 17 ноября, 2008 пользователем kostich

[nuclearcat]

Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать...

Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить

[kostich]

Если человек не рубит как добавить CA, то боюсь не врубится когда попытаются скомпрометировать...

Может как вариант поднять дополнительно PPTP? с EAP/TLS каким-нить

Тут уже есть мысль зацепиться за гуглевское OpenID + обычный верисайновский ssl серт. Это даст гарантию того, что при компрометации самого сервиса с него не уплывут учетные записи (включая пароли в каком либо виде) т.к. они на нём не хранятся... жахнуть по сетке такое можно только если скомпрометировать гуглевские службы, что в конкретное локации не шибко сложно, если человек не врубится и не обратит внимание на ругню о недействительности гуглевского церта при логине. Компрометация самого юзера посредством стыривания гуглевской учетки с его компа менее сложная чем стыривание ssl серта... при этом всё всегда можно подлечить доступом конкретного юзера с ограничением по CIDR, но это никак не решает вопроса если человек с винды и на сервис ходят с прокси установленной прямо на его компе.

 

ps. 40 баксов что ли со всех за персональные церты брать... (под S/MIME и персональный SSL)... но это же скока денег верисайну в итоге уйдет.

Изменено 17 ноября, 2008 пользователем kostich

[bitbucket]

я думаю многим полезно будет:

http://www.opennet.ru/base/sec/openssl.txt.html - все в принципе описано как делать...

 

Единственное но - у меня opera 9.51 съела p12 сертификат только с опцией -descert при экспорте в p12.

Мозилла падает на импорте, хотя через pk12util все сработало, и в мозильнике так же появился сертификат.

 

Как я понял, при генерации можно задать персональные поля для каждого сертификата, по которым можно определять пользователя.

Так же там в статье описано, как делать базу недействительных сертификатов (если у кого-то сертификат пинч упер).

 

Хотя я не знаю, зачем так сложно все делать. Я бы проще сделал: купить сертификат на сервер нормальный, подписаный thawte или veirysign, каждому юзеру бумажку (пдфку с паролем) с кучей разовых паролей (как раньше в игрушках было: найдите в документации слово такое-то на странице такой-то), и вперед, авторизация по случайным паролям.

 

Еще немножко написано тут http://www.drh-consultancy.demon.co.uk/pkcs12faq.html

Изменено 17 ноября, 2008 пользователем bitbucket

[nuclearcat]

Насколько массовым будет сервис?

Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная.

[bitbucket]

Может проще какой-то механизм со смарткартами заюзать? Их никак не упрешь, кроме как физически. И надежность железобетонная.

А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ?

[nuclearcat]

Работает так же как сертификаты в конечном итоге, но их невозможно спереть трояном.

 

http://times.usefulinc.com/2007/12/03-smartcards-osx

 

[bitbucket]

Работает так же как сертификаты в конечном итоге, но их невозможно спереть трояном.

Там железку покупать надо...

 

[nuclearcat]

Помоему смарткарты могут использоваться как дополнение при работе с сертификатами (т.е. ключ хранится не как файл, а в смарткарте и отдается процедурой только хеш).

[chainick]

А куда смарткарту тыкать в компе ? И как быть в не-виндовс системах ?

1. В USB.

2. http://www.aladdin.ru/support/download/

 

Насчет покупки верисайн - не стОит. Никакого гемора с самоподписным СА нет, проверено на нескольких тысячах кроликов.

[GateKeeper]

Его нет, если самоподписанный при регистрации абонента (например, в момент подачи им заявки) CA сертификат ему дать скачать и строго-настрого указать, чтобы добавил его в доверенные корневые. Независимо от природы и происхождения его браузера.