Esiste un modo per utilizzare certificati privati per accedere a siti Web privati che non richiedono l'installazione di un certificato radice?

2

Recentemente ho iniziato un nuovo contratto di consulenza. La società per cui lavoro mi ha chiesto di installare manualmente un certificato radice seguito da un certificato client per connettersi al loro sito web di lavoro. Sono su Mac e utilizzo Chrome come browser predefinito. Guardando nelle impostazioni di Chrome c'è un link per gestire i certificati. Facendolo clic si apre l'app Mac Keychain Access. Aggiungendo il certificato radice ci dice

Company Name CA
Root certificate authority
Expires: Sunday, December 7, 2020 17:02:50 Pacific Standard Time
"Company Name CA" certificate is not trusted

Leggendo altri Q & A questo sembra male

Il datore di lavoro mi vuole installare il certificato di root per lavorare in remoto - problemi di privacy?

Fondamentalmente quando sono sulla loro rete possono leggere tutto il mio traffico internet. Non che mi aspetto che lo facciano, è una piccola azienda non IT. Ma ancora, non mi piace l'idea.

Per ora installerò una VM e installerò il certificato di root in questo e useremo la VM esclusivamente per accedere al loro sito.

La mia domanda è: è la loro soluzione che avrebbero potuto usare che limiterebbe le cose in modo che il loro certificato di root funzionasse solo con il loro dominio / indirizzo IP piuttosto che avere un certificato di root e tutti i problemi che ciò comporta?

Dato che l'autenticazione avviene con il loro certificato cliente, suppongo che il certificato radice sia necessario solo per convalidare il certificato cliente. Se è così è un loro altro modo in cui avrebbero potuto / avrebbero dovuto generare un cert client che non avrebbe richiesto l'installazione di un certificato di root?

    
posta gman 19.06.2018 - 14:50
fonte

1 risposta

2

Se utilizzi Chrome, puoi generare un'impronta digitale SPKI dalla chiave pubblica della società:

openssl x509 -pubkey < "pubkey.pem" | openssl pkey -pubin -outform der | openssl dgst -sha256 -binary | base64 > "fingerprints.txt"

Quindi puoi avviare Chrome dalla riga di comando con questo flag:

--ignore-certificate-errors-spki-list=$(cat fingerprints.txt)

Quindi chrome tratterà tutti i certificati con quell'impronta digitale come validi e non mostrerà l'errore di sicurezza rosso nella barra degli indirizzi. Ciò durerà fino a quando Chrome avrà quel flag della riga di comando.

    
risposta data 19.06.2018 - 18:58
fonte

Leggi altre domande sui tag