Come forzare il browser a fidarsi di un certificato autofirmato

Question

Come forzare il browser a fidarsi di un certificato autofirmato

#1 da (2 voti)

1

Nella nostra Intranet. abbiamo un sito ( link ) configurato con SSL utilizzando un certificato generato per un URL di sito diverso ( link ).

I browser Chrome / FF / IE / Edge mostrano messaggi di errore del certificato non validi.

Messaggio di errore su Chrome:

Your connection is not private

Attackers might be trying to steal your information from my.pod6.people.test.com (for example, passwords, messages, or credit cards). NET::ERR_CERT_AUTHORITY_INVALID

Automatically send some system information and page content to Google to help detect dangerous apps and sites. Privacy policy Back to safetyHIDE ADVANCED This server could not prove that it is my.pod6.people.test.com; its security certificate is not trusted by your computer's operating system. This may be caused by a misconfiguration or an attacker intercepting your connection. Learn more.

Proceed to my.pod6.people.test.com (unsafe)

Messaggio di errore su Firefox:

https://my.pod6.people.test.com/

Peer’s Certificate issuer is not recognized.

HTTP Strict Transport Security: false HTTP Public Key Pinning: false

Certificate chain:

-----BEGIN CERTIFICATE-----

certificate

-----END CERTIFICATE-----

Come faccio a convincere questi browser a considerare attendibile il certificato SSL del mio sito e a ignorare l'errore in futuro?

Ho provato ad aggiungere il certificato del sito all'archivio dei certificati di root attendibili di Windows, è il posto giusto?

chrome firefox tls certificates

posta Dio Phung 27.06.2017 - 20:20

fonte

1 risposta

Leggi altre domande sui tag chrome firefox tls certificates

Rischi per la privacy da iPhone o altri telefoni con fotocamera rilevati tramite impronte digitali dai dati EXIF? Invio di e-mail con chiave segreta di autenticazione a due fattori

score 2 · Answer 1

Per essere chiari, stai aggiungendo il certificato radice CA autofirmato che utilizzerai per firmare altri certificati? Questo è ciò che deve andare nell'archivio "Trusted CA". Il certificato "foglia" autofirmato di cui il browser si fida non va lì.

"Autorità di certificazione attendibili" che hai evidenziato è dove mettere la chiave pubblica della Autorità di certificazione (ad es. LetsEncrypt, Verisign, la tua firma interna che viene utilizzata ...) Se diventeranno la tua CA e firmeranno i tuoi certificati e vorranno che il tuo sistema si fidi di questi, devi mettere la tua chiave pubblica di CA lì.

Dalla tua descrizione, tuttavia, sembra che tu abbia ricevuto un certificato del sito su una CA esistente e desideri che i tuoi browser si fidino di esso.

In tal caso, lo stai mettendo nel posto sbagliato. Vuoi "Personal" o "editori attendibili", ma è solo per il sistema operativo che si fida di esso. Come ha commentato @Steffen Ullrich in precedenza, dovrai anche aggiungere la chiave pubblica della CA autofirmata ai browser trustStore per fare ciò che vorresti.