Re[2]: nginx и ssl

[Anton Yuzhaninov]

Hello Andrey,

You wrote on Monday, January 29, 2007, 1:03:35 PM:

AYO> На самом деле - достаточно подписать сертификат сервера другим своим
AYO> же сертификатом, у которого есть соответствующие ключи:
AYO> X509v3 Key Usage: critical
AYO>  Digital Signature, Non Repudiation, Key Encipherment, Data
AYO> Encipherment, Certificate Sign, CRL Sign
AYO> и клиенту импортировать оба открытых сертификата: первый - в корневые
AYO> центры сертификации, второй - в сертификаты сайта. После этого
AYO> браузер, вроде, перестает ругаться.

О том и речь, что сертификаты нужно устанавливать. Просто в случае
самоподписанного это можно сделать просто зайдя на сайт.
А в случае если подписано другим (самодельным) сертификатом, то нужно
еще знать где он лежит, чтоб его поставить.

Но и в обоих случаях нельзя быть на 100% уверенным, что при передаче
этот сертификат не был заменен хакером на другой сертификат - с такими
же данными но другим приватным ключом.

Поэтому при импортировании своего сертификата в хранилище корневых
сертификатов все равно нужно проверить его Thumbprint.

-- 
 Anton Yuzhaninov.
-------------- next part --------------
A non-text attachment was scrubbed...
Name: smime.p7s
Type: application/pkcs7-signature
Size: 1781 bytes
Desc: S/MIME Cryptographic Signature
URL: <http://nginx.org/pipermail/nginx-ru/attachments/20070129/da6b9750/attachment.bin>