18 июля 2016 г., 14:03 пользователь Evgeniy Berdnikov <[email protected]> написал:
> On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote: > > Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты > > для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что > > принимает сертификаты, выданные организацией ZZZ. Если это > > сотрудник, то он сможет передать сертификат, сайт сможет его > > проверить, принять решение и т. д. Если нет, то будет выдана > > какая-то страница ??в доступе отказано??. > > Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту > какого-то флага (бита), там нет места для указания развесистых условий > вроде "в DN сертификата поле OU должно быть непустым и совпадать со > сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для > организации ZZZ" сервер не имеет технической возможности. > > > Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт > > DEF так, чтобы во время SSL handshake тот тоже сообщал всем > > браузерам, что принимает сертификаты организации с названием > > ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого > > уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет > > тупо выдавать единственный установленный сертификат, у которого имя > > организации совпало? > > Соответственно, сайт может лишь попросить сертификат. А что ему вернут > зависит от того, как ведёт себя браузер. У браузера есть много вариантов > для выбора, прежде всего спросить юзера, хочет ли он передавать > клиентский сертификат. > Параметр optional_no_ca (1.3.8, 1.2.5) запрашивает сертификат клиента, но не требует, чтобы он был подписан доверенным сертификатом CA. Это предназначено для случаев, когда фактическая проверка сертификата осуществляется внешним по отношению к nginx’у сервисом. Содержимое сертификата доступно через переменную $ssl_client_cert. > -- > Eugene Berdnikov > > _______________________________________________ > nginx-ru mailing list > [email protected] > http://mailman.nginx.org/mailman/listinfo/nginx-ru >
_______________________________________________ nginx-ru mailing list [email protected] http://mailman.nginx.org/mailman/listinfo/nginx-ru
