למה הcertificate של נטפרי לא יכול להיות trusted?
-
אני כבר למעלה משבוע בהתקנות עם המון אתגרים בזכות בסרטיפיקייט של נטפרי
למה זה צריך להיות self signed certificate ושאני אצטרך לאשר אותו אחד אחד?
אין אפשרות לג׳נרט סרטיפיקייט נורמלי ששירותים יאשרו אותו בלי התערבות שלי?
זה קצת מתיש, בפרט כשמדובר על התקנות והורדות דרך סקריפטים ולא סתם פתיחות של אתרים -
אני אתן דוגמא - התקנתי certificate על python ועל pip והצלחתי איכשהו להתקין כמה דברים
ועכשיו הרצתי סביבה וירטואלית (venv) על המחשב שלי ושוב יש בעיות של ssl certificate error -
באופן כללי,
כי ה CERT של נטפרי לא מאושר ע"י Certificate authorityיש אפשרות (בלינוקס או BSD רק ידוע לי) שאפשר להתקין ברמת מערכת ההפעלה וזה פוטר כמה בעיות ביחד - גם זה תלוי בדיסטרו
זה VENV - סביבה מבודדת...
איזה מערכת הפעלה יש לכם?
-
@kodcode מאק
-
@kodcode
למה אי אפשר לעבור את תהליך האישור? -
@code_monkey אתה רוצה שרשויות האישורים יסמכו על התעודה? כל המטרה של התעודה זה בשביל למנוע את פיענוח הגלישה, זה בדיוק הפוך ממה שנטפרי עושים
-
אוסיף טיפה על מה ש @someuser אמר.
מטרת כל CA ציבורי הוא להבטח שהאתר המבוקר הוא אכן האתר המבוקש.
שמי שגולש ל PAYPAL.COM אכן מגיע לPAYPAL.COM ולא לאתר שמתחזה כ PAYPAL.COM
זאת המטרה. וזה נעשה ע"י הצפנת המידע עם תעודת אבטחה.
CA ציבוריים מוכרים ע"י הדפדפן ומערכות הפעלה.כל סינון, אם זה נטפרי או FIREWALL אחר שמבצע SSL-INSPECTION בכוחו לעשות את הדבר הפוך.
נטפרי הוא CA פרטי שמנפיק SELF SIGNED CERT, ולכן אינו מוכר ע"י הדפדן או מערכות אחרות וצריכים ליבא אותו.
עיין https://www.cloudflare.com/learning/security/what-is-https-inspection/ -
@kodcode אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:
נטפרי הוא CA פרטי שמנפיק SELF SIGNED CERT, ולכן אינו מוכר ע"י הדפדן או מערכות אחרות וצריכים ליבא אותו.
עיין https://www.cloudflare.com/learning/security/what-is-https-inspection/זה שנטפרי הוא SSC זו בעיה לא פתרון
-
זה לא דבר שתלוי ברצון של נטפרי, יש בזה כללים ברורים. נטפרי במהותו יכול להיות רק SSC.
(אפשר לעיין יותר - עיין ערך PKI)
אולי גם https://security.stackexchange.com/questions/57266/how-to-become-an-internationally-recognized-certificate-authority-ca -
ואגב, כמו שכתבתי לעיל, לא רק נטפרי אלא כל סינון, כל FIREWALL עם SSL-INSPECTION, הוא SSC.
וזאת המציאות בתשתיות שמטעמי אבטחה מפענחים את התעבורה על הרשת שלהם. עיין https://www.checkpoint.com/cyber-hub/network-security/what-is-ssl-inspection/
-
@kodcode
תכלס מה עושים?
לצערי יצא לי לשמוע על כמה שמחזיקים סים פתוח בשביל התקנות וכדומה ואני לא רוצה להגיע למצב הזה -
מתחזקים
על המחשב שלי הצלחתי להתקין כמעט בכל מקום - ובאם לא וויתרי וחיפשתי תחליף.
אפשר לשאול פה או בפורומים אחרים. זאת לא "הצרה" שלך ושלי, כל חברה שיש לה FIREWALL צריכה להתמודד עם זה. ולכן, בהיפך, ע"פ רוב אפשר למצא בפורום מדריכים.
אגב, הרבה פרוטוקולים "עסקיים" בכלל לא מסוננים בנטפרי - כנראה מן הסיבה הזאת. עיין https://netfree.link/wiki/נטפרי_למפתחים_ומתכנתים
(המידע שמה לא הכי מעודכן...) -
@kodcode אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:
אפשר לשאול פה או בפורומים אחרים. זאת לא "הצרה" שלך ושלי, כל חברה שיש לה FIREWALL צריכה להתמודד עם זה.
את הcertificate של החברה שלי התקנתי בשלוש שניות והוא לא עושה שום בעיות משום מה. אולי בגלל שהוא ציבורי
-
@code_monkey לכאורה החברה שלך פשוט מעבירה את כל המקומות שיש בעיה לא דרך התעודה שלהם
נטפרי לא יכולים לעשות את זה במקרים רבים כיון שיש צורך בסינון בדומיין הזה במקום אחר. -
@code_monkey אמר בלמה הcertificate של נטפרי לא יכול להיות trusted?:
לצערי יצא לי לשמוע על כמה שמחזיקים סים פתוח בשביל התקנות וכדומה ואני לא רוצה להגיע למצב הזה
לרוב לא בגלל תעודות אבטחה
אלא פשוט כי יש התקנות מסובכות שיכולים לקחת כמה ימים של הקלטות תעבורה על כל שלב.למשל לפני תקופה הייתי צריך להתקין תמונה בדוקר ומשהו הסתבך עם אחד החבילות שהרובוט חסם אותו, וכל התהליך לקח כמה ימים (עם 2 נקודות), ולפעמים צריך לקמפל משהו קצת יותר מסובך שניגש להרבה כתובות ולפעמים זה גם יכול לקחת כמה ימים.
בגלל זה אני העברתי את רוב הפיתוח לשרת וחוסך ממני את הפניות לנטפרי על כל כתובת חדשה (אני מפתח צד שרת כך שאין לי צורך בגישה לממשק גרפי על השרת)
-
בדקנו את זה בעבר.
חלק מדרישות הבסיס של רשימת אישורים זה שאתה לא חותם תעודה ללא אישור של בעל הדומיין.
ולכן זה לא אפשרי שנטפרי תקבל אישור כי נטפרי חותמים תעודה בלי אישורים של כל דומיין.
