Vlákno názorů k článku Let's Encrypt otevřel bránu: ve veřejné betě může mít certifikát každý od Marcel - Ahojte, neviete poradit? Mam Apache2 vo vnutornej sieti, na...
-
Marcel (neregistrovaný)
Ahojte, neviete poradit?
Mam Apache2 vo vnutornej sieti, na ktorom bezi viacero virtualnych hostov.
Kazdy z nich pocuva na inom porte.
Cele je to za NAT-om, pretoze mam na to vsetko len 1 verejnu IP adresu.Otazka: dokazem letsencrypt nejako presvedcit, aby pouzival MOJE porty a nie 80/443? switche --http-01-port a --tls-sni-01-port na to evidentne nesluzia.
diky moc,
m. -
Ne, to nejde, protože by to ohrozilo bezpečnost. Na sdíleném serveru bych si na libovolném portu otevřel web server a validoval bych si všechny domény, které se na něm provozují. Pak bych měl platné certifikáty pro libovolný MitM útok.
Řešení ale přesto existuje: nastavit web server na 80 a 443 jako reverzní proxy tak, aby dotazy na adresář .well-known přesměroval lokálně na správný port s daným webem. Pak se autorita ke svému souboru dostane a certifikát vystaví. Vyžaduje to ale schopnost manipulace s nastavením web serveru, což je přesně to, co autorita chce jako důkaz.
-
jouda (neregistrovaný)
Nema cenu zamykat dum protoze s poradnou palici se tam stejne nekdo dostane?
Tohle je to same - DV certifikat chrani treba proti tomu, aby mi nekdo v hotelu/letadle/... strkal do stahovanych stranek reklamy a horsi veci, dost efektivne brani tomu, aby si nekdo zpetne precetl pasivne nasniffovany traffic. Coz je samo o sobe velky pokrok. jasne ze jsou utoky pred kterymi nechrani, ale tam uz jde o pomer riziko/naklady.
