Ich habe eine App mit einem eingebetteten Webserver. Dieser Webserver kann jetzt SSL über das OpenSSL-Paket ausführen :)Embedded Webserver und Zertifikate
Jetzt zum Cert-Problem. Diese App wird verkauft, was ich sage, weil sie nicht nur auf einem Server sitzt, den ich besitze - sie wird auf Tausenden von Computern installiert. Ich möchte, dass meine Kunden sicher sind, also möchte ich, dass sie SSL so schmerzfrei wie möglich nutzen. Im Moment erstellen wir unsere eigene CA und erstellen dann selbstsignierte Zertifikate. Dies bedeutet, dass alle unsere Kunden (und ihre Benutzer) entweder ihre benutzerdefinierte, installationsspezifische Zertifizierungsstelle installieren müssen oder mit der nicht vertrauenswürdigen Stammwarnung des Zertifikats leben müssen, von denen keine ansprechend ist.
Wie komme ich dazu?
Wir müssen entweder:
- Machen Sie es tot-einfach unsere CA zu installieren (die Browser absichtlich ziemlich schwer machen - viele scarey Warnung Dialoge)
- Irgendwie all diese Kunden certs erhalten legitim Von einer vom Browser anerkannten Zertifizierungsstelle signiert.
- die Kunden zwingen, ihre eigenen cert kaufen zu gehen und es
Ich sehe nicht installieren, wie wir # 1 tun würden, so suchen wir auf # 2. # 3 kommt so gut wie nicht in Frage.
Es kommt uns vor, dass wir nur ein SSL-Zertifikat kaufen und es mit unserem Produkt liefern können - ja, jeder benutzt das gleiche Zertifikat, und das Zertifikat und der private Schlüssel könnten in die Public Domain gelangen. .. hmmm ... Wahrscheinlich wollen wir unseren Namen nicht wegen der Haftung ...
Ich denke, das Problem ist, dass wir gegen den Zweck von CAs in erster Linie arbeiten. Irgendwelche Gedanken, wie man das für den Benutzer einfach und sicher macht? (Angenommen, Man-in-the-Middle-Angriffe sind kein Problem - hat man jemals tatsächlich dokumentiert?)
Je nachdem, ob die Kunden kommerzielle oder sogar größere Unternehmen sind, kann Punkt 3 am einfachsten sein, wenn der Kunde eine eigene CA betreibt und sein CA-Zertifikat in den Unternehmensbrowsern durch Rollout-Software installiert. Aber über John reden Ist das weit jenseits ... –