Portál AbcLinuxu, 7. května 2025 05:32
ssl_client_certificate /etc/client-CA/client-ca.crt; ssl_verify_client on;Můžete mi prosím poradit? P.
31.7.2023 00:10
Jendа | skóre: 78
| blog: Jenda
| JO70FB
…v prohlížečích podpora všelijaká a celkově na prd…
To je zajímavá novinka. To jsem se zase něco dozvěděl, po víc než dekádě bezproblémového používání právě téhle všelijaké na prd podpory.
To pak asi žádná z větších internetových firem ve skutečnosti vůbec neexistuje, což, když se žádní zaměstnanci nemůžou dostat na žádný firemní web.
Alternativní realita, par excellence.
400 Bad Request No required SSL certificate was sent nginx/1.22.1
curl, tam máš pod kontrolou, co se posílá:
curl https://example.com --cert client.cert.pem --key client.key.nopass.pem --cacert ca.cert.pemVe výstupu z s_client můžeš vidět, které klientské CA nabízí server:
echo "\n" | openssl s_client -connect example.com:https
Osobnímu certifikátu nemáš kde (a nemáš jak (a nemáš proč)) nastavovat „vždy důvěřovat“.
Takže jsi udělal něco špatně. Znova přečíst návod a začít od začátku.
31.7.2023 05:52
Max | skóre: 72
| blog: Max_Devaine
31.7.2023 12:10
Max | skóre: 72
| blog: Max_Devaine
31.7.2023 15:01
Max | skóre: 72
| blog: Max_Devaine
Je potřeba vygenerovat si (například pomocí OpenSSL) certifikační autoritu. Certifikační autorita je samopodepsaný kořenový certifikát a k němu příslušející pár klíčů.
Kořenový certifikát s veřejným klíčem autority se rozdistribuuje na servery, které pak mají ověřovat osobní certifikáty.
Každý uživatel má svůj osobní certifikát a k němu příslušející pár klíčů. Osobní certifikát je vytvořený za použití soukromého klíče autority veřejného klíče uživatele. Osobní certifikát potvrzuje uznání veřejného klíče uživatele autoritou.
Při autentifikaci se uživatel prokáže certifikátem od autority a veřejným klíčem, který tento certifikát potvrzuje. Následně pak prokáže (pomocí vhodného challenge-response mechanismu), že vlastní soukromý klíč ke svému veřejnému klíči.
1.8.2023 00:41
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nepoužívat Macroshit Edge?
Jinak jde většinou o to (a dá se to nastavit), že klíče se odemykají třeba jednou, při spuštění prohlížeče, a pak zůstane klíčenka nějakou dobu odemčená (což může být konkrétní čas nebo celý uptime).
Je to takový kompromis mezi pohodlím a odolností proti neoprávněnému použití soukromého klíče, ať už jakýmikoliv způsobem (odlákáním uživatele něčím rádoby-urgentním, aby si nezamknul session, případně cold boot útokem). Pokud je software rozumně navržený, při zamčené klíčence by dešifrovaný soukromý klíč neměl zůstávat v RAM.
/etc/hosts a je to. Odpadá tak veškeré žonglování s certifikátama a heslama. Odhodlaného útočníka který může tvůj http provoz odchytávat tcpdumpem to sice nezastaví, ale náhodné kolemjdoucí a boty to spolehlivě odfiltruje.
1.8.2023 10:34
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ano je to takové trochu lamerské řešení, ale je to jednoduché, bezůdržbové, nevyžaduje to instalaci žádného speciálního software na straně klienta. Celou dobu se tu řeší akorát ty certifikáty tak mi přišlo fér zmínit taky jinačí možnost jak "omezit přístup na web server".
Dají se taky na serveru nastavit povolené zdrojové ip adresy, ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolených.ale to už je dneska ůplné scifi protože pevnou veřejnou nesdílenou IP má jenom hrstka vyvolenýchIPv6 za 5 ... 4 ... 3 ... 2 ... 1 ...
1.8.2023 19:15
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Nemyslel jsem subdoménu ale nějaký jednoduchý hostname. Ano pokud hostname neobsahuje tečku, některé resolvery můžou frflat, ale to se taky dá snadno změnit v konfiguraci. Jsem měl za to, že když mám záznam přímo v /etc/hosts tak ten dns dotaz vůbec neopustí počítač.Jo takhle. No tak to pro změnu úplně vidím, jak ten jednoslovný hostname dáš do adresního řádku a prohlížeč to interpretuje jako dotaz pro vyhledávač (jasně, asi ti nehrozí útok, že by si toho někdo v Googlu všiml, pak uhádl kde ten server běží a poslal to tam). Pro zajímavost, proč jsi prostě nepoužil standardní HTTP autentizaci jménem a heslem?
2.8.2023 00:19
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Vetšina uživatelů neskáče od radosti ke stropu když musí v hlavě nosit a někam ručně datlovat další složité heslo.No já nevím co máš za uživatele, ale v mém okolí by asi měli lidi docela problém, když máš jako use-case „přijít k novému počítači“, přeložit tvoji normální doménu (IP si nepamatuju) a výsledek zadat spolu s „heslovým“ hostname do hosts. A ti co to dokážou už zase umí používat password manager nebo si heslo bezpečně a jednoduše (bez pamatování) přenést nějak jinak.
Standartní autentizaci jsem nepoužil asi taky proto, že v momentě jak se něco takového vystrčí do internetu tak se na to nalepí spousta botů kteří zkouší hesla.Museli by případně uhádnout i uživatele, a hlavně já takhle typicky zahesluju jenom adresář, takže by museli uhádnout ten adresář…
1.8.2023 16:30
Jendа | skóre: 78
| blog: Jenda
| JO70FB
mojeheslo 171.25.221.158a svůj server (s adresou 171.25.221.158) nastavíš tak, aby když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky. Prohlížeč pošle takovou Host hlavičku sám od sebe, protože to vidí jako zadaný hostname. Problém je že na
mojeheslo rozhodně nikdy nezískáš HTTPS certifikát, že takové použití vyžaduje od uživatelů mít admina aby mohli editovat /etc/hosts (nebo pokročilé kouzlení s LD_PRELOAD) a že ho na některých platformách (hlavně mobily) asi neuděláš vůbec.
když mu přijde požadavek s Host: mojeheslo, tak vrátil tvoje tajné stránky.no ale stále nevím jak mám odeslat takový požadavek z prohlížeče. Nebo to je dané tou IP adresou? Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"? Proč na to nezískám HTTPS certifikát?
1.8.2023 19:12
Jendа | skóre: 78
| blog: Jenda
| JO70FB
no ale stále nevím jak mám odeslat takový požadavek z prohlížečeÚplně stejně jakýkoli jiný. Když zadáš do prohlížeče http://abclinuxu.cz/, prohlížeč se zeptá systému, jakou má abclinuxu.cz adresu, systém se podívá do hosts souboru, tam ho nenajde, tak pokračuje další možností a provede DNS dotaz, dostane odpověď že to je 171.25.221.158, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: abclinuxu.cz. Když si do hosts souboru napíšeš 171.25.221.158 mojeheslo a pak do prohlížeče http://mojeheslo/, prohlížeč se zeptá systému, jakou má mojeheslo adresu, systém se podívá do hosts souboru, tam najde 171.25.221.158, předá to prohlížeči, prohlížeč se připojí na 171.25.221.158 a pošle HTTP požadavek s Host: mojeheslo. Na straně serveru se tomuhle většinou říká virtual hosts, a je to běžný způsob jak udělat, aby na jedné IP adrese mohlo běžet root.cz a lupa.cz. (ale přijde mi to na „zaheslování“ jako bizarní řešení, které bych nepoužíval)
Pokaždé když se připojím na server s 171.25.221.158 tak to vždy vrátí "tajné stránky"?Ne, cílem je nastavit server tak, aby jako „defaultní virtualhost“ (tj. to co vrátí když mu v Host hlavičce pošleš IP adresu / neznámou věc / nepošleš ji vůbec) vracel nějaké jiné stránky.
Proč na to nezískám HTTPS certifikát?Protože certifikát potvrzuje, že vlastníš / máš právo nakládat s doménovým jménem, které je tam uvedeno. Tady bys potřeboval, aby v něm bylo napsáno "mojeheslo", ale to jednak nevlastníš, a jednak se vydávané certifikáty zveřejňují (aby si vlastník abclinuxu.cz mohl kontrolovat, že někomu cizímu nebyl vydán třeba nějakým podvodem certifikát pro abclinuxu.cz), takže by se zveřejnil i certifikát s "mojeheslo" a pak by ho všichni viděli.
2.8.2023 00:20
Jendа | skóre: 78
| blog: Jenda
| JO70FB
Ne. Myslí že si dáš do hostsJeště upřesnění, a do prohlížeče zadám jakou adresu? "http://mojeheslo" ? Ještě k tomu SSL certifikátu, když si vygeneruji vlastní certifikát, tak to přes https pojede, ne?mojeheslo 171.25.221.158
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.
1.8.2023 23:51