نوشته‌شده در

TLS – HSTS بیش از HTTP-CDN-HTTPs زنجیره ای

من از SSL انعطاف پذیر CloudFlare استفاده میکنم:

SSL انعطاف پذیر: شما نمیتوانید پشتیبانی HTTPS را از مبدأ خودتان پیکربندی کنید، حتی
  با یک گواهی که برای سایت شما معتبر نیست. بازدیدکنندگان خواهند بود
  قادر به دسترسی به سایت خود از طریق HTTPS، اما اتصالات به مبدا شما
  خواهد شد بیش از HTTP ساخته شده است. توجه: شما ممکن است حلقه تغییر مسیر را با
  برخی از تنظیمات اولیه.

دلیل استفاده من از آن ساده است: من نمی توانم هزینه گواهی SSL پرداخت کنم و با استفاده از Let's Encrypt به دلیل نیاز به روز رسانی این گواهی هر 90 روز به نظر نمی رسد. [19659004] من نگرانی های زیادی در مورد CloudFlare SSL و استفاده از HSTS با هر چیزی که به عنوان SSL انعطاف پذیر CloudFlare کار می کند (کاربر Cloudflare با HTTPS، cloudflare-myServer با HTTP). چگونه دقیقا در مواردی مانند این (http-CDN-https) امنیت با HSTS به دست می آید یا نه؟

هرگونه توضیح و پیشنهاد بیشتر می تواند بسیار قدردانی شود.

نوشته‌شده در

x.509 تایید هویت امضاهای زنجیره ای – Exchange Security Stack Security Information

هنگامی که یک برنامه کاربردی مشتری یک پرونده گواهی برگ را از یک موجودیت صادر شده توسط CA صادر می کند، چگونه تأیید امضا های Cert را انجام می دهد؟

به طور مشخص، مشخص نیست که آیا یک امضای گواهی برگ فقط رمزنگاری است تایید شده توسط کلید عمومی public key (که در cert تعبیه شده است) یا در صورتی که بعضی از مدارک والد CA در فرآیند رمزگشایی / تأیید امضا وجود داشته باشد.

پس از تایید برگ برگ، و برنامه به زنجیره صادر کننده و براساس گواهی CA متوسط ​​می پردازد، در تأیید امضا مرکزی CA، کلید عمومی کلید ریشه در برخی از راه ها دخالت دارد؟ یا آیا برنامه تنها نیاز به کلید عمومی CA متوسط ​​برای تأیید امضا میانجی دارد؟

نوشته‌شده در

چگونه تأیید زنجیره اعتماد برای تأیید هویت گواهی بر روی سرور انجام می شود؟

در حال حاضر نیاز دارم که گواهی ROT CA، Cert Mid-CA و Client Cert را در کلاینت برای آن برای اتصال به سرور وارد نمایم. سرور با استفاده از دستور SSLCACertificateFile دسترسی به گواهی Root-CA دارد.

من فکر می کنم که در حال حاضر سرور نمی تواند Midmediate-CA را تأیید کند، زیرا دسترسی به Cert ندارد. بنابراین مشتری به مشتری می آید. آیا این درست است؟

اگر چنین است: چگونه می توانم سرور را برای تأیید زنجیره اعتماد در اختیار خودم قرار دهم؟ شاید نشانی اینترنتی در گواهینامه امضاء کننده باشد؟ اضافه کردن بیش از یک دستور SSLCACertificateFile کار نمی کند.