[vpsFree.cz: community-list] SSLS.CZ a jejich FUD

Petr Krcmar petr.krcmar at vpsfree.cz
Mon Nov 28 12:52:58 CET 2016


Dne 28.11.2016 v 12:45 Jirka Bourek napsal(a):
> zřejmě tomu chybí kořenový certifikát autority, který ale server (AFAIK)
> posílat nemá

Určitě ho posílat nemá, protože je v každém případě zbytečný. Buď ho už
klient má v prohlížeči a pak mu věří, nebo ho nemá a i on pak bude při
poslání viset v nedůvěryhodném vakuu a je to k ničemu. Oni neposílají
mezilehlý. Vydavatelem je „thawte SHA256 SSL CA“, ale to není kořenový
certifikát. Musí existovat mezilehlá autorita vydaná „thawte Primary
Root CA - G3“.

Ale to je klasický problém, protože pro admina je to obvykle
neviditelné. Když má admin v prohlížeči naučený mezilehlý odjinud (což
je obvyklé, protože on třeba navštívil web té samotné autority a ta mu
mezilehlý ukázala), pak mu jeho špatně nakonfigurovaný web funguje a on
má pocit, že je všechno v pořádku.

-- 
Petr Krčmář
vpsFree.cz


More information about the Community-list mailing list