OpenID su SSL con certificato auto firmato

voti
7

I ha installato il mio fornitore aperte ID sul mio server personale, e ha aggiunto un reindirizzamento al https nel mio file di configurazione di Apache. Quando non si utilizza una connessione protetta (quando ho disattivare il reindirizzamento) posso entrare bene, ma con il reindirizzamento non posso login con questo messaggio di errore:

La connessione sottostante è stata chiusa: Impossibile stabilire una relazione di fiducia per le SSL / TLS canale sicuro.

Sto indovinando che questo è perché sto utilizzando un certificato auto firmato.

Qualcuno può confermare se il certificato auto firmato è il problema? In caso contrario qualcuno ha qualche idea che cosa è il problema?

È pubblicato 25/09/2008 alle 03:01
fonte dall'utente
In altre lingue...                            


4 risposte

voti
2

Suona come esso. Il client del server OpenID non si fida l'autorità di certificazione principale.

Risposto il 25/09/2008 a 03:07
fonte dall'utente

voti
8

Il vantaggio principale di utilizzare SSL per il vostro URL OpenID è che dà la parte che invoca un meccanismo per scoprire se il DNS è stato manomesso. E 'impossibile per il relying party per capire se un URL OpenID con un certificato auto-firmato è stata compromessa.

Ci sono altri benefici che si ottiene da utilizzando SSL su URL di endpoint del provider (più facile stabilire le associazioni, senza intercettazioni sui dati di estensione), che sarebbe ancora tenere se è stato utilizzato un CERT auto-firmato, ma vorrei prendere in considerazione quelle da secondaria.

Risposto il 25/09/2008 a 03:16
fonte dall'utente

voti
3

(Disclaimer: Sono nuovo di OpenID, quindi potrei sbagliarmi qui.) La comunicazione tra l'Open ID dei consumatori (ad esempio, StackOverflow) e il provider ID Open (il server) non richiede HTTPS - che funzionerà altrettanto bene e altrettanto sicuro su HTTP pianura. Quello che dovete fare è quello di configurare il server per passare a HTTPS solo quando si mostra la pagina di login. In questo caso, solo il tuo browser deve occuparsi del certificato auto-firmato. Si potrebbe importare il certificato sul vostro PC e tutto sarà più sicuro con, certificato di esempio, Verisign-emesso.

Risposto il 25/09/2008 a 16:30
fonte dall'utente

voti
5

OpenID è progettato in modo reindirizzamento trasparente. Finché le coppie chiave / valore necessarie sono conservati in ogni reindirizzamento, sia da GET o POST, tutto funzionerà correttamente.

La soluzione più semplice per ottenere la compatibilità con i consumatori che non funzionano con i certificati autofirmati è quello di utilizzare un end-point non criptati che reindirizza checkid_immediatee checkid_setupmessaggi a uno criptato.

In questo modo nel codice del server è più facile che con web server reindirizza in quanto i primi possono più facilmente trattare le richieste POST, pur mantenendo il codice insieme. Inoltre, è possibile utilizzare lo stesso end-point per gestire tutte le operazioni di OpenID, a prescindere se sia o non dovrebbe essere servito su SSL, fintanto che controlli adeguati sono fatti.

Ad esempio, in PHP, il reindirizzamento può essere semplice come:

// Redirect OpenID authentication requests to https:// of same URL
// Assuming valid OpenID operation over GET
if (!isset($_SERVER['HTTPS']) &&
        ($_GET['openid_mode'] == 'checkid_immediate' ||
         $_GET['openid_mode'] == 'checkid_setup'))
    http_redirect("https://{$_SERVER['HTTP_HOST']}{$_SERVER['REQUEST_URI']}");

Poiché il openid.return_tovalore è stato generato nei confronti di un end-point HTTP pianura, per quanto riguarda il consumatore è interessato, si occupa solo con un server non criptato. Assumendo il corretto funzionamento OpenID 2.0 con sessioni e nonce, tutte le informazioni passate tra il consumatore e il vostro sever non dovrebbe rivelare informazioni sfruttabili. Le operazioni tra il browser e il server OpenID, che sono sfruttabili (snooping password o cookie di sessione dirottamento) sono fatte su un canale crittografato.

Oltre a tenere fuori intercettazioni, avendo le operazioni di autenticazione essere eseguite su SSL consente di utilizzare la securebandiera dei cookie HTTP. Questo aggiunge un ulteriore livello di protezione per le checkid_immediateoperazioni, se desiderate per permettere.

Risposto il 27/10/2008 a 06:20
fonte dall'utente

Cookies help us deliver our services. By using our services, you agree to our use of cookies. Learn more