למה הcertificate של נטפרי לא יכול להיות trusted?

kodcode

@code_monkey

באופן כללי,
כי ה CERT של נטפרי לא מאושר ע"י Certificate authority

יש אפשרות (בלינוקס או BSD רק ידוע לי) שאפשר להתקין ברמת מערכת ההפעלה וזה פוטר כמה בעיות ביחד - גם זה תלוי בדיסטרו

זה VENV - סביבה מבודדת...

איזה מערכת הפעלה יש לכם?

code_monkey

@kodcode מאק

code_monkey

@kodcode
למה אי אפשר לעבור את תהליך האישור?

someuser

@code_monkey אתה רוצה שרשויות האישורים יסמכו על התעודה? כל המטרה של התעודה זה בשביל למנוע את פיענוח הגלישה, זה בדיוק הפוך ממה שנטפרי עושים

kodcode

@code_monkey

אוסיף טיפה על מה ש @someuser אמר.

מטרת כל CA ציבורי הוא להבטח שהאתר המבוקר הוא אכן האתר המבוקש.
שמי שגולש ל PAYPAL.COM אכן מגיע לPAYPAL.COM ולא לאתר שמתחזה כ PAYPAL.COM
זאת המטרה. וזה נעשה ע"י הצפנת המידע עם תעודת אבטחה.
CA ציבוריים מוכרים ע"י הדפדפן ומערכות הפעלה.

כל סינון, אם זה נטפרי או FIREWALL אחר שמבצע SSL-INSPECTION בכוחו לעשות את הדבר הפוך.
נטפרי הוא CA פרטי שמנפיק SELF SIGNED CERT, ולכן אינו מוכר ע"י הדפדן או מערכות אחרות וצריכים ליבא אותו.
עיין https://www.cloudflare.com/learning/security/what-is-https-inspection/

code_monkey

@kodcode אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:

נטפרי הוא CA פרטי שמנפיק SELF SIGNED CERT, ולכן אינו מוכר ע"י הדפדן או מערכות אחרות וצריכים ליבא אותו.
עיין https://www.cloudflare.com/learning/security/what-is-https-inspection/

זה שנטפרי הוא SSC זו בעיה לא פתרון

kodcode

@code_monkey

זה לא דבר שתלוי ברצון של נטפרי, יש בזה כללים ברורים. נטפרי במהותו יכול להיות רק SSC.

(אפשר לעיין יותר - עיין ערך PKI)
אולי גם https://security.stackexchange.com/questions/57266/how-to-become-an-internationally-recognized-certificate-authority-ca

kodcode

@code_monkey

ואגב, כמו שכתבתי לעיל, לא רק נטפרי אלא כל סינון, כל FIREWALL עם SSL-INSPECTION, הוא SSC.

וזאת המציאות בתשתיות שמטעמי אבטחה מפענחים את התעבורה על הרשת שלהם. עיין https://www.checkpoint.com/cyber-hub/network-security/what-is-ssl-inspection/

code_monkey

@kodcode
תכלס מה עושים?
לצערי יצא לי לשמוע על כמה שמחזיקים סים פתוח בשביל התקנות וכדומה ואני לא רוצה להגיע למצב הזה

kodcode

@code_monkey

מתחזקים

על המחשב שלי הצלחתי להתקין כמעט בכל מקום - ובאם לא וויתרי וחיפשתי תחליף.

אפשר לשאול פה או בפורומים אחרים. זאת לא "הצרה" שלך ושלי, כל חברה שיש לה FIREWALL צריכה להתמודד עם זה. ולכן, בהיפך, ע"פ רוב אפשר למצא בפורום מדריכים.

אגב, הרבה פרוטוקולים "עסקיים" בכלל לא מסוננים בנטפרי - כנראה מן הסיבה הזאת. עיין https://netfree.link/wiki/נטפרי_למפתחים_ומתכנתים
(המידע שמה לא הכי מעודכן...)

code_monkey

@kodcode אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:

אפשר לשאול פה או בפורומים אחרים. זאת לא "הצרה" שלך ושלי, כל חברה שיש לה FIREWALL צריכה להתמודד עם זה.

את הcertificate של החברה שלי התקנתי בשלוש שניות והוא לא עושה שום בעיות משום מה. אולי בגלל שהוא ציבורי

אינו יודע לשאול

@code_monkey לכאורה החברה שלך פשוט מעבירה את כל המקומות שיש בעיה לא דרך התעודה שלהם
נטפרי לא יכולים לעשות את זה במקרים רבים כיון שיש צורך בסינון בדומיין הזה במקום אחר.

nigun

@code_monkey אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:

לצערי יצא לי לשמוע על כמה שמחזיקים סים פתוח בשביל התקנות וכדומה ואני לא רוצה להגיע למצב הזה

לרוב לא בגלל תעודות אבטחה
אלא פשוט כי יש התקנות מסובכות שיכולים לקחת כמה ימים של הקלטות תעבורה על כל שלב.

למשל לפני תקופה הייתי צריך להתקין תמונה בדוקר ומשהו הסתבך עם אחד החבילות שהרובוט חסם אותו, וכל התהליך לקח כמה ימים (עם 2 נקודות), ולפעמים צריך לקמפל משהו קצת יותר מסובך שניגש להרבה כתובות ולפעמים זה גם יכול לקחת כמה ימים.

בגלל זה אני העברתי את רוב הפיתוח לשרת וחוסך ממני את הפניות לנטפרי על כל כתובת חדשה (אני מפתח צד שרת כך שאין לי צורך בגישה לממשק גרפי על השרת)

magicode

בדקנו את זה בעבר.
חלק מדרישות הבסיס של רשימת אישורים זה שאתה לא חותם תעודה ללא אישור של בעל הדומיין.
ולכן זה לא אפשרי שנטפרי תקבל אישור כי נטפרי חותמים תעודה בלי אישורים של כל דומיין.