Re: Https e caddy
Leonardo Boselli ha scritto:
> dare un certificato a 10.10.10.10 non è ammesso, ma dare un certificato a
> serveri.my-nonpublic-network-example.net che ha un record A 10.10.10.10 è
> perfettamante ammissibile. ( e il record A lo puoi semp0re cambiare: pensa
> a quei domini che hanno solo un cname: quello che succede ai record A e
> AAAA della macchina a cui punta il cname sogno al di fuori del controllo.
a me sembra di ricordare che, per il caso che avevo visto, il certificato
fosse stato emesso su un IP fisso (stavo aiutando a capire il problema di
non "funzionamento" di un sito interno e il problema era che il certificato
non veniva riconosciuto valido perché emesso per qualcosa di diverso da
quello su cui era esposto).
Poi non so se per errore avessero creato il certificato sull'IP al posto
che sul name...
Non sono un esperto di certificati, ma penso che in ogni caso che per gli
indirizzi ip/nomi di rete interna non si possa avere un certificato di una
CA riconosciuta, ma si possa solo usare una CA interna all'organizzazione.
Se qualcuno prende quel certificato e lo usa in un'altra rete interna non
mi sembra che ci siano problemi di sicurezza, poiché se non riconosci già
quella CA come trusted (cosa che dovrebbe essere impossibile) ti viene
indicato che è firmato da una CA non riconosciuta... e quindi o blocchi
la navigazione o fai considerare affidabile il certificato
(temporaneamente o in modo indefinito).
Ciao
Davide
--
La mia privacy non è affar tuo
https://noyb.eu/it
- You do not have my permission to use this email to train an AI -
If you use this to train your AI than you accept to distribute under AGPL
license >= 3.0 all the model trained, all the source you have used to
training your model and all the source of the program that use that model
Reply to: