Důvěryhodný certifikát v rámci LAN

Důvěryhodný certifikát v rámci LAN
« kdy: 27. 11. 2023, 09:11:36 »
Cisto teoreticka otazka.
Existuje mala LAN (napr. 192.168.1.0/24)..
Bezi v nej nejaky normalny firewall/router (openwrt, pfsense ...).

Na DNS (unbound, bind ...) sa vytvori A zaznam, na nejaky vhost apache.
Napr. vhost bezi na 192.168.1.20 na ktrom bude, nejakypriklad.sk.

Zatial sme bez TLS a vsetko funguje.
Je mozne nasadit (samozrejme v ramci LAN) na lokalnu domenu TLS aby to zhltol prehliadac (samozrejme bez upravy prehliadaca)?
« Poslední změna: 27. 11. 2023, 09:32:36 od Petr Krčmář »


Re:Doveryhodny TLS pre prehliadace v ramci LAN
« Odpověď #1 kdy: 27. 11. 2023, 09:15:53 »
Bez upravy prohlizece (aka import root CA) lze pouze certifikaty s verejnymi CA.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #2 kdy: 27. 11. 2023, 10:44:05 »
Na DNS (unbound, bind ...) sa vytvori A zaznam, na nejaky vhost apache.
Napr. vhost bezi na 192.168.1.20 na ktrom bude, nejakypriklad.sk.
Pokud je to skutečne sk doména a vlastníte ji, tak si vystavte certifikát třeba z LE. Pokud nemá být webserver otevřený do internetu, tak přes DNS challenge.
(nebo) Pokud máte (náhodou) Windows doménu, tak si můžete vystavit certifikát z vlastní CA a certifikát na stanice distribuovat pomocí GPO.

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #3 kdy: 27. 11. 2023, 10:54:33 »
Asi jsou dvě řešení.
1) pokud ta doména nejakypriklad.sk skutečně existuje a je vaše, můžete si nechat vystavit certifikát na jméno s ověřením přes DNS, záleží na tom, kde je autoritativní DNS server, s trochou štěstí (má-li API) lze i automatizovat
2) mít vlastní CA a její certifikát dát do systému jako důvěryhodný - ve Windows lze pomocí Group Policy, Firefox teď už ze sytému tyto certifikáty přejímá automaticky (dřív se mu to musel zase přes politiku nebo konfigurační soubory vnutit). Ale třeba v mobilu asi smůla.

Já jsem skončil u toho, že mám IPv6, ve veřejném DNS registrovanou IPv6 adresu toho serveru, na FW povolené porty 80 a 443 a certifikáty zajišťuje certbot. Server sám striktně vyžaduje HTTPS (redirect kromě .well-known) a z venku i přihlášení. Ve veřejném DNS nemůže ale být neveřejná IPv4 adresa (dřív to šlo), takže pokud chcete uvnitř přístup přes IPv4, musíte mít vnitřní DNS pro tuto doménu.
Pozn: exUPC, mám nativní IPv6, ale ne veřejnou IPv4.
Pozn2: pro klienty z venku, kteří nemají IPv6 funguje docela dobře WARP - https://1.1.1.1

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #4 kdy: 27. 11. 2023, 10:57:46 »
Ten WARP se zdá být dost dobrý pro BFU, protože je úplně soldaten sicher und idioten fest. Nainstalujete a máte přepínač: zapnout/vypnout. Žádná konfigurace.


Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #5 kdy: 27. 11. 2023, 18:34:42 »
Sorry, zabudol som napisat, ze to bude pristupne len v LAN.
Pocitajte napr. s tym, ze v LAN neni pristupny internet.
A ci je mozne to spravit bez zasahu do PC v ktorom ma byt domena pristupna.

robac

  • ***
  • 203
    • Zobrazit profil
    • E-mail
Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #6 kdy: 27. 11. 2023, 22:48:07 »
Pocitajte napr. s tym, ze v LAN neni pristupny internet.
Nez zacneme s (pravdepodobne) zbytecnou mentalni gymnastikou nad hypotetickym problemem, tak by se sluselo rici, zda je ta sit skutecne a nezvratne oddelena od internetu... Neco mi rika, ze ne.

Z mych znalosti:
  • Nechate si vystavit certifikat od uznavanych verejnych CA, jejichz certifikat (nebo nadrizeny) maji klienti ve svem certificate store. Jak ho na server dopravite je vcelku jedno - klidne si ho nechte vystavit od napr. RapidSSL na dva roky a preneste ho server pres USB disk.
  • Vystavite si certifikat z privatni CA a pak musite nejakym zpusobem klientum updatovat certificate store tak, aby CA duverovali. Jak to konkretne udelate, je znovu jen na vas.

Nevim, jak byste to chtel jinak udelat a zaroven zachovat smysl pouziti certifikatu...

Stale jste se neobtezoval upresnit, jestli se jedna o verejnou domenu (prakticteji spise jeji subdomenu), kterou vlastnite nebo jde o nejake zverstvo typu ".local".

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #7 kdy: 27. 11. 2023, 23:00:02 »
Ten priklad nedava zmysel. Ak v LAN neni pristupny internet, ako sa da dostat potom na tu domenu nejakypriklad.sk ?

Ak sa na nu da dostat, a ta domena nebezi lokalne v tej sieti, tak v LAN je pristup k internetu.

Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #8 kdy: 28. 11. 2023, 07:38:02 »
Ten priklad nedava zmysel. Ak v LAN neni pristupny internet, ako sa da dostat potom na tu domenu nejakypriklad.sk ?
Třeba má lokální DNS.

Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?

Vidím celou řadu možných důvodů, např.:

a. Nechceme věřit všem zařízením v síti.
b. Nějaké zařízení v síti může mít několik Wi-Fi, kam se připojuje => může se kdykoli připojit jinam, bude-li poblíž vyhovující AP.
c. Nějaké zařízení v síti se může připojovat i do jiných sítí => někdo může otrávit cache v prohlížeči nebo naopak těžit cache/cookies/localstore….

FKoudelka

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #9 kdy: 28. 11. 2023, 11:15:57 »
Ak ta domena bezi v LAN sieti, a ta siet je fakt uplne ostrovna, naco certifikaty?
Asi jedině, aby neotravovaly prohlížeče ?
pak lokální CA a importovat ji na všechny pc
Jinak mi dotaz nedává smysl

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #10 kdy: 28. 11. 2023, 13:52:03 »
Ma to byt v LAN a (teoreticky) bez pripojenia na internet, to znamena, ze domena nemoze byt verejna. Domenu si vymyslim a DNS server bude lokalny.


Z mych znalosti:
  • Nechate si vystavit certifikat od uznavanych verejnych CA, jejichz certifikat (nebo nadrizeny) maji klienti ve svem certificate store. Jak ho na server dopravite je vcelku jedno - klidne si ho nechte vystavit od napr. RapidSSL na dva roky a preneste ho server pres USB disk.
  • Vystavite si certifikat z privatni CA a pak musite nejakym zpusobem klientum updatovat certificate store tak, aby CA duverovali. Jak to konkretne udelate, je znovu jen na vas.

Nevim, jak byste to chtel jinak udelat a zaroven zachovat smysl pouziti certifikatu...

Stale jste se neobtezoval upresnit, jestli se jedna o verejnou domenu (prakticteji spise jeji subdomenu), kterou vlastnite nebo jde o nejake zverstvo typu ".local".

Moznost jedna sa mi pozdava. Ale predpokladam, ze to takto fungovat asi nebude.
Cize letsencrypt (LE) by vystavil cert na domenu verejnu napr. niecoverejne.com

Mozem potom ten cert pouzit v LAN (bez internetu) na nieconeverejne.com ?

Predpokladam, ze ten cert je viazany na meno tej domeny.

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #11 kdy: 28. 11. 2023, 14:09:35 »
Ano, když už certifikát máš, není problém použít ho v oddělené neveřejné síti nepropojené s Internetem.
Ale pro získání bude nejspíš potřeba použít alternativní způsob ověření vlastnictví domény přes DNS (jedině že by se s toutéž doménou provozoval zároveň i web server na Internetu).
A LE vydává certifikáty jen na 3 měsíce, takže se to bude muset pořád dokola točit a vyměňovat za nové.

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #12 kdy: 28. 11. 2023, 14:29:15 »
OK, skusim a dam vediet

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #13 kdy: 28. 11. 2023, 14:45:39 »
Vymyšlená doména je potenciální problém:

a. Doména na existující TLD => někdo ji může koupit a nechat si vystavit certifikát.
b. Doména na neexistující TLD => asi OK, dokud ji někdo nezaloží
c. Doména na TLD, kde si nikdo nebude mít nikdy možnost nic zaregistrovat (tuším .local) => nevidím problém

Re:Důvěryhodný certifikát v rámci LAN
« Odpověď #14 kdy: 28. 11. 2023, 15:23:25 »
Cize letsencrypt (LE) by vystavil cert na domenu verejnu napr. niecoverejne.com

Mozem potom ten cert pouzit v LAN (bez internetu) na niecoverejne.com ?

Predpokladam, ze ten cert je viazany na meno tej domeny.

Predpokladáš správne, cert pre "niecoverejne.com" nemôžeš použiť na "nieconeverejne.com". Na druhú stranu vlastníctvo domény nemusí nutne znamenať, že k tomu existuje nejaký DNS A záznam ukazujúci na konkrétny stroj, takže môžeš pre internú sieť použiť svoju "verejnú" doménu (pre ktorú na Internete nebude DNS záznam na konkrétny stroj), prípadne jej subdoménu (tj web máš na niecoverejne.com a internú sieť na totonieje.niecoverejne.com). Certifikát vystavíš/overíš pomocou TXT záznamu v DNS (čím zverejníš "do sveta" info že to lokálne používaš), a ako bolo spomínané vyššie, budeš to musieť robiť ručne relatívne často (iba že by si tú sieť nemal takú izolovanú a nejaký automatizačný skript mal minimálne prístup k DNS API a vedel si ten TXT záznam upraviť pri obnove certifikátu).

c. Doména na TLD, kde si nikdo nebude mít nikdy možnost nic zaregistrovat (tuším .local) => nevidím problém

.local je rezervovaná pre mDNS. Správna doména pre interné použitie je .home.arpa (RFC8375) alebo jej ľubovoľná subdoména.