sslug-teknik team mailing list archive

[Mogens Kjaer <mk@xxxxxx>]

Henrik Morsing wrote:

> Der er saa vidt jeg kan gennemskue to dele i en SSL forbindelse.
> Serveren skal kunne identificere sig selv med et gyldigt certificat og
> browseren skal identificere sig selv. Begge certificater er tilsyneladende
> forkert da browseren altid kommer med:
> 
>         Certificate Is Expired
> og derefter
>         Certificate Name Check
>         The certificate that the site 'ns1.idp.dk' has presented does not
>         contain the correct site name.
> og derefter
>         No User Certificate
> 
> Hvis man klikker paa 'More info' kan man se at jeg baade er ejer af og har
> udstedt serverens certificat.

Så vidt jeg ved, vil din browser altid brokke sig, hvis du bruger
hjemmelavede certifikater. Ellers skal du ud og købe et autoriseret
certifikat, viasign, thawte - eller hvad de nu hedder. Man kan
også fortælle browseren, at det hjemmelavede certifikat er godt nok,
men det vil unægteligt forvirre en del.

Hvis du laver certifikatet til maskinen xyz.abc.dk skal det også
bruges på maskinen af dette navn. Det skal man lige tænke på,
hvis maskinen har aliases.

Du skal tænke på, at SSL bruges ikke kun til at transmittere
krypteret information, det er mindst lige så vigtigt, at den,
der browser kan være sikker på, at man er inde på det rigtige sted.

Mogens
-- 
Mogens Kjaer, Carlsberg Laboratory, Dept. of Chemistry
Gamle Carlsberg Vej 10, DK-2500 Valby, Denmark
Phone: +45 33 27 53 25, Fax: +45 33 27 47 08
Email: mk@xxxxxx Homepage: http://www.crc.dk