Em 5 de março de 2015 20:34, Welkson Renny de Medeiros <welk...@gmail.com> escreveu:
> Em 5 de março de 2015 18:18, MrBiTs <mrbits....@gmail.com> escreveu: > >> >> Se você configurar o squid direito (como me parece que fez) E (e esse é >> um grande E) colocar no mesmo .pem tanto a chave, o >> certificado e o certificado intermediário da Startcom, sim, tudo deve >> funcionar. Eu tenho certificados deles falando com Google, >> Facebook e outros serviços. >> >> > > Grande MrBiTs, beleza? Ajude-me a entender melhor essa solução. > > Você precisou instalar esse certificado no navegador das máquinas? > > Pelo que sei, a StarSSL não permite você gerar um certificado wildcard a > nível de domínio, ex: *.* (sub-domínio acredito que deixa, ex: *. > minhaempresa.com.br). PS: pelo que lembro no caso da Lenovo (Superfish) > os caras instalavam um certificado wildcard no navegador do usuário. > > Ainda estou lendo sobre certificate pinning [1], mas pelo que vi ele > associa o certificado ao host com uma chave que só o responsável pelo > domínio teria acesso... o site até pode abrir em MITM, mas o navegador > deveria gerar algum tipo de alerta (pelo menos no Chrome e Firefox).... ou > não? > > Se eu estiver engando, e se você puder, indique algum material para que eu > possa entender melhor essa solução. > > [1] https://www.owasp.org/index.php/Certificate_and_Public_Key_Pinning > > Welkson > > Complemento para meu e-mail anterior: http://www.squid-cache.org/mail-archive/squid-users/201409/0002.html http://security.stackexchange.com/questions/52645/legitimate-use-case-of-man-in-the-middle-attack-for-dpi "4. Yep Certificate pinning will cause problems with this and is becoming more common as time goes by. The way this works is that the browser knows of a specific certificate or set of certificates that it trusts for a given hostname, and it won't base that trust on certificates being issued by a known CA. I'm not aware of a way past that problem". Welkson ------------------------- Histórico: http://www.fug.com.br/historico/html/freebsd/ Sair da lista: https://www.fug.com.br/mailman/listinfo/freebsd
