V tomto krátkém článku si ukážeme, jak si vygenerovat vlastní certifikační autoritu, a s její pomocí podepisovat vlastní self-signed certifikáty, které budou mít vyplněné subjectAltName (Subject Alternative Name), a díky tomu budou v pořádku fungovat v Chromu 58 a vyšším.
Jak bylo na virtuální konferenci FOSDEM.
Jak je to s přístupností mobilního menu z klávesnice? Používáte odkazy “více” a “zde”? Znáte rozdíl mezi aria-label, aria-labelledby a aria-describedby? Je PDF strojově čitelný formát z pohledu zákona o přístupnosti?
Posledních pár let mě baví se zabývat bezpečností aplikací. Čistě technicky. A když člověk tyhle věci implementuje, dostane se k zajímavým problémům, které by ho ani nenapadly. A tak se stalo, že jsem se dostal k proxy. Jako slepý k houslím.
Zadna slava...
Vubec neni vysvetleno nebo alespon naznaceno pozadi toho co se vlastne deje. Tj. jake klice a k nim prislusne certifikaty se generuji (rsa/dsa/ecc), jake maji mezi sebou vztahy, proc maji prave takovou delku klice a na co to ma vliv, co jsou podpisove hashe a jake pouzit, jake ma mit certifikat nalezitosti a pripadne k cemu vsemu se da pouzit + odkazy an dalsi zdroje…
Pokud tomu nerozumite, tak takove clanky radej nepiste, napacha to vic skody nez uzitku – napriklad k tomu nevysvetlenemu des3:
OpenSSL does not include 3DES per default since version 1.1.0 (August 2016), and considers it a „weak cipher“.
Take neni vubec zadny duvod generovat certifikaty jako root.
Navic pokud neni treba neco specialniho, tak neni duvod se jako BFU trapit nejakym skriptovanim a openssl, kdyz jsou na to hotove SW s GUI jako treba https://sourceforge.net/projects/xca/
Re: Zadna slava...
To, ze neni clanek urcen pro Vas jste musel pochopit velice brzy. Na rozdil od vas, podobny clanek jsem velice uvital – na localhost fakt nemusim resit „blbosti“, ktere resite.
Aneb – kdyz si chci hrat na localhostu s https tak me vase pripominky VUBEC nezajimaji a rozhodne se mi nelibi, ze odrazujete lidi od psani.
Co jste o certifikatech, krome tohodle plodneho kalendare – po bitve je kazdy general, napsal Vy?
Reknu Vam to – Nic jste nenapsal, pokud tomu tak neni – prosim link a nasledovat bude omluva z me strany, v opacnem pripade si svou kritiku strcte vite kam…
Re: Zadna slava...
Že to není článek pro mne je jasné. Na co poukazuji je to, že by měl začínat velkým červeným vykřičníkem ve smyslu: „tomuhle zrovna moc nerozumím, můžete to použít na vývoj u sebe na localhostu aby vás to moc nezdržovalo, ale do při reálném nasazení se raděj zeptejte někoho povolanějšího nebo si to nastudujte pořádně.“
Pak to totiž dopadá takto:
https://www.root.cz/clanky/nekopirujte-kod-z-diskusnich-for-jsou-v-nem-bezpecnostni-chyby/
Super
Díky za ucelený přehled ;-) Postup je funkční i na Linux Mint 18.2, tedy měl by běžet i na většině Ubuntu distribucí. Super je, že díky validnímu certifikátu můžete lokálně zapnout i HTTP2 a trochu si s tímto protokolem pohrát :-)
BTW: pro Chrome existuje i varianta, kdy lze zapnout „nedůvěryhodné“ certifikáty z localhostu (moc to nedoporučuji) pomocí:
Oprava
Díky,
akorát na řádku
sudo chmod 600 /etc/ssl/private/rootCA-Development.key 2048je na konci 2048 navíc. To tam být nemá.Na Linuxu jsem využít utilitu easy-rsa.
Funguje to perfektně, děkuju.