Re: curl и самоподписанные сертификаты
On 2010.12.16 at 08:38:19 +0000, Nicholas wrote:
> On 15.12.2010 17:42, Ed wrote:
>> есть чужой сайт с самоподписанным сертификатом, ...
>> curl на него ругается (что и ожидалось):
>
> Любой СА сертификат - самоподписанный, потому то он и СА.
Это неправда. Бывают secondary CA, подписанные на primary CA.
Вообще цепочка CA может быть какой угодно длины, но на практике больше
трех встречается редко.
Другой вопрос, что самоподписанный сертификат, НЕ СОДЕРЖАЩИЙ расширения
basicConstraints считается сертификатом CA, а рассматриваемый сертификат
содержал это расширение со значеним CA:FALSE.
> Купленный за $k и сделанный командой ssl ничем не отличаются, кроме того
Это если уметь "командой ssl" пользоваться. По умолчанию скрипты,
которые идут в комплекте OpenSSL делают допотопные сертификаты X509v1,
кладут email в Distinguisted Name, что deprecated (но для того чтобы
положить его в правильное место - расширение subjectAltName нужно делать
сертификат X509v3) и не умеют русских букв в полях Distinguished Name.
> что купленный уже будет стоять в мозилле и ie пользователя,
> а свой СА надо будет каждому пользователю установить самому, и тогда
> сертификаты того же дерева будут приниматься молча.
Причем начиная с Vista скачанный с Web сертификат CA пытается поставится
в store intermediate CA, где должны стоять сертификаты промежуточных CA,
подписанные на первичном. Вот в более ранних виндах самоподписанный
сертификат с basicConstraints=CA:TRUE и правильным extendedKeyUsage,
автоматически ставился в primary CA, а виста и семерка требуют ручного
выбора certificate store.
Reply to: