Bezpečnost komunikace s vlastním certifikátem

[Deny]

Ahoj všichni, vygeneruji si vlastní certifikát, sám si ho podepíšu a naimportuji ho do prohlížeče. Bude taková komunikace opravdu šifrovaná a zabezpečená? Děkuji.

[Reklama]

[Miky]

Ahoj všichni, vygeneruji si vlastní certifikát, sám si ho podepíšu a naimportuji ho do prohlížeče. Bude taková komunikace opravdu šifrovaná a zabezpečená? Děkuji.

Ahoj,
hodne obecny dotaz, ktery nerika k cemu konkretne.
Udelat si vlastni PKI (certifikacni autoritu, vlastni certifikaty) je dobre. Mas pod kontrolou vlastni retezec na ktere stavis duveryhodnost. Nicmene v zavislosti na co vse to chces pouzit to nese dalsi naroky na konfiguraci a distribuci.
Zkus to vice konkretizovat.

U sebe pouziam vlastni certifikaty pro Wifi - EAP-TLS

[Ravise]

Bude, když ti od toho někdo neukradne klíče. Certifikát, který označíš za důvěryhodný, bude prohlížeč vidět stejně jako certifikát, který bys dostal od nějaké autority (třeba Let's Encrypt).

Ale vzhledem k tomu, že se na to ptáš, doporučuju studium literatury, než něco vypustíš do internetu

[GPS]

Specifikuj "use case" tzn jak to chces pouzit.

[Deny]

Chci to použít na webovém serveru pro prohlížení webových stránek.

[Reklama]

[Fantomas]

Tak jak to popisujes, bude.

[Jack]

Jen takova technicka i pokud je certifikat neduveryhodny, tak je komunikace sifrovana. Dokonce i kdyz je propadly/revokovany a pokracujes pres varovani, je komunikace sifrovana. To ze ji pripadne muze nekdo desifrovat/presmerovat/atp. je vec druha.

[Deny]

A ví někdo jak vygenerovat certifikát pro všechny subdomény od Let's Encrypt? Prosím, jsem začátečník, tak mě neposílejte na stránky v angličtině, díky.

[GPS]

A ví někdo jak vygenerovat certifikát pro všechny subdomény od Let's Encrypt? Prosím, jsem začátečník, tak mě neposílejte na stránky v angličtině, díky.

Vsak se tu o tom psalo v tvem rodnem jazyce - https://www.root.cz/clanky/let-s-encrypt-spousti-podporu-zolikovych-certifikatu/

[Deny]

A kde ten soubor acme.sh stáhnu?

[Miky]

A kde ten soubor acme.sh stáhnu?

Vzdyt odkazy jsou v tom clanku...
https://github.com/Neilpang/acme.sh

[Deny]

Díky, to jsem ale taky našel, to neexistuje oficiální způsob jak ten certifikát vytvořit? To musím použít nějaký script který slepil někdo na koleně v garáží a navíc funguje jen u pár distribucí?

BTW: teď se dívám, to jako budu muset každé 3 měsíce upravovat DNS záznamy u každé domény?

[Lol Phirae]

Prosimtě, a nechceš ještě abysme ti šli utřít (_!_) ? 

[Miky]

Díky, to jsem ale taky našel, to neexistuje oficiální způsob jak ten certifikát vytvořit? To musím použít nějaký script který slepil někdo na koleně v garáží a navíc funguje jen u pár distribucí?

BTW: teď se dívám, to jako budu muset každé 3 měsíce upravovat DNS záznamy u každé domény?

V clanku je uvedeno jasne, ze Acme byl mezi prvnima.
Pocet klientu a moznosti se rozrostl https://letsencrypt.org/docs/client-options/#acme-v2-compatible-clients

Postup pro Linux/Unix/BSD a NGIX/Apache...
https://certbot.eff.org/

Windows IIS:
https://certifytheweb.com/

atd.

Pokud poskytovatel ma API pro DNS a klient pro letsnecrypt jej podporuje pak se to deje automaticky.

nebo

"Utilita si poradí i se situací, kdy DNS záznamy pro doménové jméno, pro které je potřeba získat certifikát, není možné nebo žádoucí spravovat automatizovaně. Režim zvaný DNS alias funguje tak, že subdomény _acme-challenge doménových jmen, pro které chceme získat certifikáty, trvale přesměrujeme pomocí CNAME záznamů do jiné, dynamicky spravované domény. Klient acme.sh při ověřování upravuje záznamy pouze v této vedlejší doméně, do které je autorita při ověřování přesměrována právě CNAME aliasem."


Vse je v clanku a celkem prehledne. Nevim jak vice pomoci...

[Deny]

OK, vidím, že to je pouze pro lidi kteří pracují s linuxem 100 let, nic pro normálního smrtelníka.