¿Hay alguna forma de instalar / aplicar automáticamente una CA raíz a los clientes? ¿Para que no reciban ninguna advertencia de certificado no confiable cuando visitan un sitio web local?
Tengo un DNS local configurado y agregado a mi enrutador. ¿Puedo, si es posible, instalar la CA raíz en el enrutador y eso también afectaría a los clientes conectados?
Respuestas:
Sí, pero depende del cliente. Por ejemplo, puede instalar automáticamente (es decir, sin la confirmación del usuario final) los certificados de CA raíz en las máquinas de Microsoft Windows en su dominio con una política de grupo, pero Firefox no aceptará estos certificados, que utilizan su propio almacén de certificados.
Los protocolos de cifrado se basan en PKI (certificados) para establecer la confianza. La confianza se define por el propietario del cliente (un sistema operativo o un navegador).
Algunos clientes que están orientados a entornos corporativos permiten definir la confianza del propietario ( una compañía ) sin notificar a los usuarios finales.
Los mecanismos para lo anterior son independientes del DNS.
SSL / TLS y otros protocolos que utilizan PKI en realidad están destinados a evitar que los propietarios de servidores DNS abusen de su poder al redirigir el tráfico de los usuarios de forma secreta.
Afortunadamente no puedes. Si pudieras, toda la PKI no proporcionaría seguridad.
fuente