Jump to content

SSL + Личный кабинет в серых сетях

carleone
 Share

Recommended Posts

carleone

carleone

Posted
Posted (edited)

Добрый день.

 

Получили SSL сертификат Thawte123, установили в Апач.

 

И появилась проблема, каждый браузер при заходе проверяет отозваность сертификата по протоколу OCSP. Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

 

Как вы решаете данную проблему доступа без самоподписаных серфтификатов и установкой их в корень?

Edited by carleone
Mallorn

Mallorn

Posted
Posted

Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

voron

voron

Posted
Posted

Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).

разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

carleone

carleone

Posted
  • Author
Posted
Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).
разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

carleone

carleone

Posted
  • Author
Posted
Мы у себя поставили в кабинете сертификат от startssl.com

 

Локальная сеть города, адреса из 10.0.0.0/8. В Интернет все ходят через серые адреса. Насчет проверки подлинности сертификата - косяков не замечал. Сертификат чуть более полугода установлен.

То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

Mallorn

Mallorn

Posted
Posted
То есть NAT? Ну тогда они без проблем получают доступ до OCSP на серых адресах. Какие тут проблемы =)

 

Попробуйте, на сером адресе без досупа на OCSP сервер и браузером который еще не закешировал ответ. То есть, Mozilla первый раз спрашивает, кеширует, и больше не бегает.

 

Можно поставить другой браузер (Chrome, IE), который не общался именно с этим сертификатом и не проверял его статус, то при посещении задумается.

 

Если снифером смотреть, хост бежит до DNS, спрашивает о OCSP сервере и потом ломится на него.

Да, без доступа в инет тоже так происходит. Но только один раз, следующие попытки уже не требуют наличия Интернета даже после перезапуска браузера. Проверял на Опере 11 и IE 7.

 

Ну а как по-другому оно работать будет? До центра сертификации ему единожды в любом случае надо достучаться.

voron

voron

Posted
Posted
Если у абонента серый айпи без выхода во внешнию сеть, то начинается задержка, а то и вовсе выбрасывает с ошибкой TIMEOUT (Google Chrome).
разрешите абоненту днс и доступ на IP:80 того OSCP, который указан в вашем сертификате.

 

DNS разрешен. Так как у абонентов (10.0.0.0/8), то придется натить на ocsp, а там dns балансер и много /24. Помойму очень не удобно с таким решением, только для доступа в ЛК.

прозрачное проксирование и только url oscp в разрешённых - пробовали?

 

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
 Share
Go to topic listing
×
×
  • Create New...
На сайте используются файлы cookie и сервисы аналитики для корректной работы форума и улучшения качества обслуживания. Продолжая использовать сайт, вы соглашаетесь с использованием файлов cookie и с Политикой конфиденциальности.