Instalar / aplicar el certificado de CA raíz automáticamente

2

¿Hay alguna forma de instalar / aplicar automáticamente una CA raíz a los clientes? ¿Para que no reciban ninguna advertencia de certificado no confiable cuando visitan un sitio web local?

Tengo un DNS local configurado y agregado a mi enrutador. ¿Puedo, si es posible, instalar la CA raíz en el enrutador y eso también afectaría a los clientes conectados?

John Pangilinan
fuente
2
"¿Hay una manera de instalar / aplicar automáticamente una CA raíz a los clientes?" - Solo si su sistema operativo confía en la Root Authority. Dado que esto está marcado como OpenSSL, solo puedo asumir que está hablando de certificados CA autofirmados. Como administrador de un sistema, puede crear una imagen de sistema operativo que ya confíe en la CA autofirmada, si así lo desea.
Ramhound
Sí, es autofirmado. Entonces, ¿la única forma es instalarlo o instalarlo en el sistema?
John Pangilinan
1
Si no desea que el usuario del sistema lo instale, sí, instalarlo para ellos es la única forma de que el navegador confíe en él automáticamente.
Ramhound

Respuestas:

6

¿Hay alguna forma de instalar / aplicar automáticamente una CA raíz a los clientes?

Sí, pero depende del cliente. Por ejemplo, puede instalar automáticamente (es decir, sin la confirmación del usuario final) los certificados de CA raíz en las máquinas de Microsoft Windows en su dominio con una política de grupo, pero Firefox no aceptará estos certificados, que utilizan su propio almacén de certificados.

Los protocolos de cifrado se basan en PKI (certificados) para establecer la confianza. La confianza se define por el propietario del cliente (un sistema operativo o un navegador).

Algunos clientes que están orientados a entornos corporativos permiten definir la confianza del propietario ( una compañía ) sin notificar a los usuarios finales.

Tengo un DNS local configurado y agregado a mi enrutador.

Los mecanismos para lo anterior son independientes del DNS.

SSL / TLS y otros protocolos que utilizan PKI en realidad están destinados a evitar que los propietarios de servidores DNS abusen de su poder al redirigir el tráfico de los usuarios de forma secreta.

¿Puedo, si es posible, instalar la CA raíz en el enrutador y eso también afectaría a los clientes conectados?

Afortunadamente no puedes. Si pudieras, toda la PKI no proporcionaría seguridad.

techraf
fuente
¿Depende de qué escenario?
John Pangilinan
A OS del cliente. @Juan
0xcaff