نوشته‌شده در

مجوز گواهینامه – حذف CA های غیر قابل اعتماد از فایرفاکس

برو به about: preferences # privacy ، به پایین زیر «گواهینامهها» بروید، روی «مشاهده گواهینامهها» کلیک کنید، سپس به برگه «مقامات» بروید.

هر یک از مجوزهای گواهینامه را انتخاب کنید می خواهم بی اعتماد باشم، سپس روی دکمه «حذف یا عدم اطمینان» کلیک کنید.

Firefox CA trusted screen

به نظر نمی رسد راهی ساده برای بازگرداندن اعتماد به یک ساخته شده در CA باشد، به طوری که ممکن است بخواهید در مورد بی اعتمادی به CA های ساخته شده توجه بیشتری داشته باشید – به ویژه، همه CA شناخته شده نامهای صادر کننده را به خوبی شناخته اند: به عنوان مثال، "بگذار رمزگذاری" توسط "گروه تحقیقات امنیت اینترنت" صادر شود، بنابراین بی اعتمادی به " ISRG Root X1 "گواهی بی اعتمادی به" رمزگذاری را "بی اعتبار می کند (خوب، آنها متقاضی می شوند، بنابراین کار را ادامه خواهند داد مگر اینکه شما نیز IdenTrust را مورد اعتماد قرار دهید، که همچنان مشابه آن مربوط نیست …)

نوشته‌شده در

TLS – نیاز به پردازش گواهینامه از 2 CA مختلف در سراسر 1 اتصال

من یک اتصال HTTPS واحد دارم
من از SSL / TLSv1.2 استفاده می کنم

ما در حال تغییر به CA جدید هستیم. برای موقت، من می خواستم CA قدیمی و CA جدید را در پرونده CA من پیوست کنم. جدید cert را برای CA جدید بارگذاری کنید.
بنابراین، در حال حاضر من 2 گواهی. 1. CA قدیمی، 2. CA جدید و هر دو CA با cert root آنها پیوست شده است.

به نظر می رسد که این باعث می شود TLS به تعطیل و پردازش در روشن باشد.

چگونه می توانم از آن حمایت کنم؟

نوشته‌شده در

گواهینامه ها – نحوه اضافه کردن یک CA سفارشی به androids پوشه ریشه سیستم مورد اعتماد

از آندروید 7.0 هیچ گواهی سفارشی توسط برنامه های آندروید استفاده نمی شود. توسعه دهندگان برنامه باید به طور خاص کدهای نوشته و تنظیمات برنامه را تغییر دهند تا یک CA سفارشی را دنبال کنند.

اما در حال تست کردن گواهی در محیط UAT سخت است. به عنوان یک راه حل من می خواستم گواهی CA سفارشی از ابزار پروکسی (burp یا ZAP) را به پوشه سیستم androids اضافه کنم.

چگونه این کار را انجام دهیم؟ کدام پوشه گواهی باید کپی شود؟ من از شبیه ساز استفاده می کنم. پس راهی برای انجام این کار بدون رندر شبیه سازی وجود دارد؟

Ref: اولین پاسخ این سوال

نوشته‌شده در

TLS – چگونه مقامات cert تعیین و subjectAltNames را تعیین می کنند، اگر توسط کاربر نهایی ارائه نشده است؟

بیایید به عنوان یک کاربر نهایی بگویم من یک CSR (برای سرور cert) برای فرستادن به یک CA و یک نام جایگزین موضوعی را ایجاد می کنم. چگونه می توان آنها را برای اضافه کردن این اطلاعات در گواهی سرور فرستادند؟ یا آنها هرگز چیزی را به عقب بر نمی گردانند و آن را رد می کنند که به من می گویند که یکی را شامل شود؟

فرض کنید یک سناریو که در آن آنها را رد نمی کند، بهترین کاری که من انجام می دهم، چیزی است مانند subjectAltName = commonName یا subjectAltName = {domain of e-mail}؟

در واقع من سعی می کنم به عنوان CA خودم با استفاده از OpenSSL عمل کنم (1.1.0i). من یک جفت ریشه و دو جفت متوسط ​​ایجاد کرده ام. من می دانم که هر بار می توانم به طور دستی SAN را ارائه دهم، اما اگر راهی برای خودکار سازی و فایرفاکس های بیشتری وجود داشته باشد، خنک می شود.

نوشته‌شده در

گواهی – چگونه می توانم به یک سایت اینترانت اعتماد کنم

من کاملا با کار با pki کار جدیدی دارم و چند روز تلاش کردم تا بدانم که چگونه محیط زیست را به درستی پیکربندی کنم (سنتوس 6).

یک گروه دیگر در داخل سازمان من، فایلهای زیر را از یک واسطه CA.

.p12
پیمان
.key

.p12 حاوی قلم و کلید شخصی من است که با رمز محافظت شده است. من قادر به استفاده از این دو فایل با استفاده از کتابخانه درخواست پایتون برای برقراری ارتباط با سرور؛ با این حال، تلاش می کند تا سرور خود را شکست دهد.

در تلاش برای تایید سرور خود، سرور خود را با استفاده از مرورگر خود صادر کرد. من آن را در تمام دایرکتوری های صحیح گذاشتم و update-ca-trust extract را اجرا کردم و فایل با موفقیت به فروشگاه اعتماد اضافه شد، اما تلاش برای تأیید سرور خود هنوز ناکام است.

من کاملا مطمئن نیستم که من اشتباه می کنم، اما اساسا پیام های مختلفی از کتابخانه openssl و کتابخانه های درخواستی python دریافت می کنم که گواهی نمی تواند تایید شود.

آیا در اینجا چیزی از آشکارا وجود دارد؟