Назад | Перейти на главную страницу

Сделать подстановочный сертификат действительным для ВСЕХ сайтов по всему миру?

Как мне создать подстановочный сертификат для ВСЕХ доменов?

Вот моя ошибка:

CACERTIFICATE.crt импортирован в моем браузере как надежный. SERVERCERTICIATE.crt и SERVERPRIVATEKEY.key используются в прокси-сервере, который сканирует трафик SSL на наличие вирусов.

Проблема в том, что мне в IE нужно снять галочку: «Инструменты - Свойства обозревателя - Дополнительно - Предупреждать, если адреса в сертификатах не совпадают *»

чтобы он не жаловался на сертификат. (На картинке eicarcert.PNG у меня не установлен флажок, и вы видите, что сертификат является доверенным).

В firefox (последняя версия) я должен нажимать «Добавить исключение безопасности» для КАЖДОГО SSL-сайта, который я посещаю. Довольно раздражает необходимость «добавлять исключение безопасности» для каждого SSL-сайта, который я посещаю, даже если сертификату доверяют. Firefox выпустил обновление для запрета обработки SSL. * покрывать . в доменах. Даже имея сертификат вроде *.*.* не заставляет браузер доверять ему.

Есть ли способ создать сертификат, действительный для ВСЕХ доменов по всему миру?

К сожалению, никогда не было хорошего RFC о том, как работает сопоставление с подстановочными знаками, поэтому различные реализации (в основном SChannel и NSS) немного отличаются. Однако вот проект стандарта, который это закрепит:

http://tools.ietf.org/html/draft-saintandre-tls-server-id-check-09#section-4.4.3

И вот мнение Microsoft:

support.microsoft.com/kb/258858

Как правило, подстановочный знак может отображаться как крайняя левая метка, и он соответствует именно одна этикетка. Итак, * .example.com соответствует www.example.com, но не example.com (потому что это будет означать совпадение нулевых меток).

'*' соответствует только 'com', 'org' и т. д. '*. *' недопустимо.

Итак, вы не можете делать то, что пытаетесь сделать. Модули SSL MITM должны устанавливать корневой ЦС на клиентские машины, а затем на лету генерировать сертификаты (с кэшированием) для доменов, которые они хотят перехватить.

MITM также оказался ужасной идеей, которая требует огромных затрат для остального мира и постоянно ломает вещи. Не ждите, что Chrome будет работать с ними.

Ты нуждаешься в сертификат нескольких доменов не подстановочный сертификат.