<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">18 июля 2016 г., 14:03 пользователь Evgeniy Berdnikov <span dir="ltr"><<a href="mailto:bgx@protva.ru" target="_blank">bgx@protva.ru</a>></span> написал:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><span class="">On Mon, Jul 18, 2016 at 11:05:12AM +0300, Vladislav Shabanov wrote:<br>
> Пусть есть сайт ABC, на котором внедрили клиентские SSL-сертификаты<br>
> для сотрудников. Такой сайт любому зашедшему браузеру сообщает, что<br>
> принимает сертификаты, выданные организацией ZZZ. Если это<br>
> сотрудник, то он сможет передать сертификат, сайт сможет его<br>
> проверить, принять решение и т. д. Если нет, то будет выдана<br>
</span>> какая-то страница ??в доступе отказано??.<br>
<br>
Мне кажется, что запрос сертификата в SSL/TLS делается передачей клиенту<br>
какого-то флага (бита), там нет места для указания развесистых условий<br>
вроде "в DN сертификата поле OU должно быть непустым и совпадать со<br>
сторокой ZZZ". То есть сказать браузеру "я принимаю сертификаты для<br>
организации ZZZ" сервер не имеет технической возможности.<br>
<span class=""><br>
> Вопрос вот в чём: нехороший человек это заметил и настроил свой сайт<br>
> DEF так, чтобы во время SSL handshake тот тоже сообщал всем<br>
> браузерам, что принимает сертификаты организации с названием<br>
> ZZZ. Правильно ли я понимаю, что сотрудники компании ZZZ после этого<br>
> уже никогда не смогут посещать сайт DEF анонимно? Браузер ведь будет<br>
> тупо выдавать единственный установленный сертификат, у которого имя<br>
> организации совпало?<br>
<br>
</span> Соответственно, сайт может лишь попросить сертификат. А что ему вернут<br>
зависит от того, как ведёт себя браузер. У браузера есть много вариантов<br>
для выбора, прежде всего спросить юзера, хочет ли он передавать<br>
клиентский сертификат.<br></blockquote><div><br><br>Параметр <code>optional_no_ca</code> (1.3.8, 1.2.5)
запрашивает сертификат
клиента, но не требует, чтобы он был подписан доверенным сертификатом CA.
Это предназначено для случаев, когда фактическая проверка сертификата
осуществляется внешним по отношению к nginx’у сервисом.
Содержимое сертификата доступно через переменную
<code>$ssl_client_cert</code>.
<br> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<span class=""><font color="#888888">--<br>
Eugene Berdnikov<br>
</font></span><div class=""><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" rel="noreferrer" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div></div>