StartSSLに、自分が所有するドメインの証明書を持っています。だからこれは私に与えます:
- 中間CA証明書
- StartComルートCA証明書
- 秘密鍵
これらを受け取るために、私はStartSSLにこれを送信しました:
- 私が所有している証明
mydomain.com(電子メールコードの検証による) - すでに持っている秘密鍵から作ったCSR
サーバー上のOpenSSLがそれらを使用してWebブラウザーを安心させることができるように、このキーとこの証明書チェーンをサーバーに配置する必要があるようです。
しかし、どの秘密鍵はどれですか?CSRを生成した秘密鍵とCAから取得した秘密鍵を持っています。
私も100%はっきりしていないのは、ここで何が保証されているかということです。ブラウザは証明書を確認します。証明書は、に接続する必要があることをブラウザに通知しmydomain.comます。
StartComが知っているのは、私が所有していることを彼らに示したということmydomain.comだけであり、この秘密鍵を持っているのは私だけです。これが受け継がれているので、ユーゴスラビアから接続しているブラウザにもこの情報があります。
したがって、私のWebサーバーは、動的IPを使用した安価なホーム接続上にあります。ドメインレジストラでDNSをに直接使用するmydomain.comように設定しましたが、ダイナミックDNSサービスが自宅のルーターのダイナミックWANIPにリダイレクトされました。myname.dynDNSProvider.comCNAMEmyname.dynDNSProvider.com
IPが変更されると、リクエストは他の誰かに送信されるか、まったく送信されません。攻撃者は、を報告する有効な証明書を使用してサーバーをセットアップできないため、すべて問題ありませんmydomain.com。また、DNSサービスも信頼する必要があります。IPを更新すると、すべてが再び機能します。
それで、これはそれがどのように機能するのですか?ドメインから実際のIPへのリダイレクトパスはSSL認証の目的に関係ありませんか?私のDNSサービスプロバイダーは、そのように選択した場合、部外者よりも効果的に攻撃を実行できますか?
私は基本的に、安価な場所でホームサーバーへの安全な接続を設定しようとしています。安価な場所でそれを実現するために、ダイナミックDNSによって発生する短いダウンタイムはまったく問題ありません。ここで解決しようとしている特定の問題は、ブラウザに「無効な証明書!!!」と言わないようにすることです。彼らが私のサーバーから私の自己署名SSL証明書を見るとき。このようなものがどのように機能するかを学ぶための良いリソースを見つけるのに少し苦労しています。