Apache con HTTPS usando Entidad Certificadora propia

kceres · #1 (**permalink**) 06/10/2014, 11:37

Buenas tardes, siguiendo varios tutoriales que se encuentran en la web he podido generar una Entidad Certificadora y su certificado correspondiente para un sitio web montado sobre Apache. La configuración del virtualhost viene siendo la siguiente (la parte del HTTPS):

Código:

  SSLEngine on
  SSLCACertificateFile '/etc/ssl/certs/CA_nombre.pem'
  SSLCertificateFile '/etc/ssl/certs/apachessl.pem'
  SSLCertificateKeyFile '/etc/ssl/private/apachessl.key'
  SSLVerifyClient require
  SSLVerifyDepth 10
  # --- opciones varias (mirar en http://httpd.apache.org/docs/2.2/mod/mod_ssl$
  SSLProtocol -all +SSLv3
  SSLCipherSuite SSLv3:+HIGH:+MEDIUM

Mi duda surge de a que tengo que aceptar el certificado cada vez que abro el navegador ...supuestamente todo esta OK porque el Chrome pone el HTTPS en verde sin ningún problema, pero es un poco molesto estar confirmando el certificado cada vez que cierro y abro el navegador ...es normal este proceso?

muchas gracias!

saludos, kceres

#2 (**permalink**) 10/10/2014, 07:53

Es normal. El motivo es que los navegadores no aceptan en general certificados auto-firmados.

Todos los navegadores incluyen los certificados de las CA (Certificate Authority, Entidad Certificadora) más conocidas (VeriSign, por ejemplo), para poder verificar los certificados de los sitios que hayan comprado sus certificados a estas CA. Se supone que esto aumenta la seguridad, por dos motivos:

1. Se tiene confianza en estas CA, y se asume que no permitirán a cualquiera comprar un certificado para un sitio que no controlan, o que sea sospechoso. Es decir, se supone que no emitirán a mi nombre un certificado para google.com

2. Si un sitio intenta enviarte un certificado que dice ser firmado por VeriSign, el navegador puede verificarlo rápidamente y alertarte en consecuencia.

Los certificados auto-firmados como el que generaste, no tienen la firma de una CA que el navegador conozca, por lo que de forma predefinida se genera la alerta.

En realidad, en el pasado se han dado casos que revocan esta confianza que se asume en las CA, y es un tanto ridículo que los navegadores entren en pánico cuando encuentran un certificado auto-firmado, pero no advierten nada cuando se usa una conexión http normal sin cifrar. Pero esa es otra discusión que el sentido común nunca va a ganar.

Si tu certificado es para una intranet, lo que debes hacer es instalar en cada máquina que va a acceder a ese sitio el certificado raíz de tu CA.

Si tu certificado es para un sitio web público, y no querés que tus usuarios/clientes reciban la alerta, tendrás que comprar un certificado a alguna de las CA conocidas. Así es la vida :)

kceres · #3 (**permalink**) 15/10/2014, 19:43

muchas gracias por la explicación ...al final es para uso interno de la empresa; en mi caso el problema consistía en la configuración del virtualhost que había dicho "SSLVerifyClient require" y por eso cada vez que se accedía a la página pedía confirmar el certificado

saludos, kceres