Vlákno názorů k článku Certificate Transparency je tu, všechny HTTPS certifikáty musejí být veřejné od snehuliak - Podla mna zverejnovat admin weby nebude treba ak...
-
BobTheBuilderStříbrný podporovatelAsi nijak, aspoň v Active Directory:
Most of you have a private PKI within your organization that does not chain up to a public root. In this scenario, CT will not affect your CA's. Chrome browser uses Windows native CAPI to determine trusted chains. Windows can differentiate between commercial/public CA chains and internal/private chains. Since Windows has this ability, CT will not affect Private/Internal PKI chains.
https://blogs.technet.microsoft.com/pki/2018/03/12/how-will-certificate-transparency-affect-existing-active-directory-certificate-services-environments/
Tedy pokud certifikát té soukromé autority není podepsaný nějakou kořenovou, pak se to bude muset řešit i tady.
A jinde asi taky ne, píše se o certifikátech vydaných veřejnou autoritou.
Ostatně, to by přestaly fungovat ty antivirové MITM techniky na on-line kontrolu HTTPS komunikace. -
Privátní CA je sice možnost, ale nejspíš více problémů vytvoří než vyřeší. Musíte vyřešit důvěru (pokud nenainstalujete certifikát CA do truststoru sám, nejspíš budou odklikávat výjimky) a je to mocný nástroj, který dává široké možnosti zneužití.
Když z nějakého důvodu* chceme skrýt administraci na tajné URL, je lepší tajnou část dát za lomítko, nebo případně použít wildcard. (Pokud to ale bude v názvu domény, leakne to skrze DNS dotazy a SNI.)
*) Doufejme, že motivace je defense-in-depth a ne security-by-obscurity.
-
BobTheBuilderStříbrný podporovatel
Privátní CA je téměř nutnost, protože nevím, jak bych si nechal jednoduše podepsat certifikát pro LDAPS komunikaci s doménovým řadičem, ten certifikát tam má pár méně obvyklých položek a je služba je poměrně vybíravá na to, co v certifikátu je a není.
Vlastní CA nepředstavuje velké provozní problémy: počítače v doméně její certifikát dostanou z moci úřední a ostatní, pokud to potřebují, si ho musí přidat. Jednou.
A cizí lidi/stroje mě nezajímají, stejně tam nemají co dělat a nemají (nemají mít) přístup.
No, pravda, ten certifikát privátní CA musíte někdy přidat až 3x, jednou do systému pro všechny, podruhé pro Firefox a potřetí pro Thunderbird. Ale tohle v Mozille nejsou schopní pochopit léta, je to marné, to je jen takový standardní povzdech. -
OK, to je asi do jisté míry speciální případ, tam doménový řadič stejně už ty počítače spravuje. Můj hlavní point byl, že jako obecné řešení (zejména pokud ty počítače nespravujete) to přináší více problémů. A reagoval jsem na utajenou doménu na webu, což je trochu jiný případ než LDAPS (alternativní řešení jsou k dispozici).
> ostatní, pokud to potřebují, si ho musí přidat. Jednou.
Při každé změně CA. (Ta jednou vyprší.)
> jednou do systému pro všechny, podruhé pro Firefox a potřetí pro Thunderbird
Firefox a možná I Thunderbird umožňuje nastavit, aby používal certifikáty ze systému. Je to ale AFAIK Windows only: https://wiki.mozilla.org/CA:AddRootToFirefox
Dalším zlobivcem je Java, ta má vlastní cacerts. Minimálně na Debianu (a možná I jiných distribucích) jde nastavit Java, aby to brala ze systému, tady pro změnu neznám řešení pro Windows: https://packages.debian.org/wheezy/ca-certificates-java
Pak můžete mít ještě různé virtuální stroje, WSL, docker images, Vagrant atd., kde máte konfiguraci zvlášť.
Záleží samozřejmě dost na konkrétním případě, co chcete řešit. Možná nemáte například Javu, nebo ji možná máte, ale nezajímá vás, protože k serveru s certifikátem podepsaným interní CA přístup nepotřebuje. Stejně tak s dalšími problematickými elementy. Nepochybně jsou prostředí, kde to je řešitelné celkem snadno.
-
BobTheBuilderStříbrný podporovatel
No, když zmodifikujete prefs.js ve FF, pak můžete naimportovat certifikáty. I opakovaně, nemůžete je ale odebrat. A nejde to s out-of-the-box FF.
Takže je to na kulový.
Na rozdíl od Chromu, který používá systémové úložiště certifikátů (takže lze vlastní CA doplnit pře GP) a další vlastnosti Chromu lze taky přes GP nastavit.
FF a TB nikoho moc netrápí - FF se proto ve firemním prostředí nepoužije a pro TB je to další mínus v porovnání s Outlookem. Mělo by to trápit Mozillu, protože přichází možná o dost významné procento použití, ale zjevně je to taky netrápí. -
Mno, vím o několika věcech :
1) policypack
https://www.policypak.com/products/manage-mozilla-firefox-with-group-policy.html
2) CCK2
https://mike.kaply.com/cck2/
3) security.enterprise_roots.enabled = TRUENezkoušel jsem zatím ani jedno, ale mám to v todo.
Zdar Max -
BobTheBuilderStříbrný podporovatel
No jo, to je ono, nezkoušel.
Ono to nějak funguje, ale stojí to bačkoru.
Třeba 3) - jo, paráda, jenže už při spuštění FF (každém!) to chce master heslo, a jako perlička, okénko na zadání hesla je skryto pod oknem prohlížeče. A tak podobně je to i s tím ostatním. Je to nakonec horší, než si nainstalovat certifikát privátní CA ručně.
Na rozdíl od, třeba, Google Chrome, který systémový certificate store používá bez řečí a další věci vyžadují je pro admina aplikovat template do GPO, ale nic na straně počítače ani uživatele. A Chrome si případně může uživatel (má-li právo) nainstalovat sám jakkoliv. -
BobTheBuilderStříbrný podporovatel
No, a co když má uživatel nastavené master passwd (aby měl chráněné uložené přihlašovací údaje)? Problém nastane totiž až v tomto okamžiku.
-
Pupik (neregistrovaný)
Ve Firefoxu to již možné je. Je tam parametr který umožní použít root certifikáty z úložiště Windows. Bere však jen ty root certifikáty, které jsou přidány přes GPO. Blbé je, že zapnout tuto funkci jde v about:config jednoduše, jenže zautomatizovat to je složitější, než jen zápis do registru.
Tady o tom něco píší: https://support.umbrella.com/hc/en-us/articles/115000669728-Configuring-Firefox-to-use-the-Windows-Certificate-Store
