thảo luận Certificate của Voz.vn

microvn2012

Đã tốn tiền
Hi các bác,
Nay lướt web tự dưng tò mò ấn vào phần thông tin về SSL của Voz thấy thế này:
1604381207363.png


Cho em hỏi tại sao lại hiển thị phần Kaspersky Anti-Virus PRC ở đây ạ?
Máy em có cài KIS nhưng nó có liên quan gì?
Voz mua SSL của KAS thì chắc ko phải rồi? KIS can thiệp vào việc gửi/ nhận dữ liệu của em và Voz ah? Vậy sao em vào voz ko bị báo lỗi SSL nhỉ?
Các bác thông não em phát.
 

tmk1207

Senior Member
Hi các bác,
Nay lướt web tự dưng tò mò ấn vào phần thông tin về SSL của Voz thấy thế này:
View attachment 269009

Cho em hỏi tại sao lại hiển thị phần Kaspersky Anti-Virus PRC ở đây ạ?
Máy em có cài KIS nhưng nó có liên quan gì?
Voz mua SSL của KAS thì chắc ko phải rồi? KIS can thiệp vào việc gửi/ nhận dữ liệu của em và Voz ah? Vậy sao em vào voz ko bị báo lỗi SSL nhỉ?
Các bác thông não em phát.

voz dùng ssl cer miễn phí "let's encrypt"
 

duo8

Đã tốn tiền
Hi các bác,
Nay lướt web tự dưng tò mò ấn vào phần thông tin về SSL của Voz thấy thế này:
View attachment 269009

Cho em hỏi tại sao lại hiển thị phần Kaspersky Anti-Virus PRC ở đây ạ?
Máy em có cài KIS nhưng nó có liên quan gì?
Voz mua SSL của KAS thì chắc ko phải rồi? KIS can thiệp vào việc gửi/ nhận dữ liệu của em và Voz ah? Vậy sao em vào voz ko bị báo lỗi SSL nhỉ?
Các bác thông não em phát.
KIS nó cài root cert vào máy. Cái này chắc để phục vụ tính năng lọc web gì đó.
 

hetien

Senior Member
KIS nó cài root cert vào máy. Cái này chắc để phục vụ tính năng lọc web gì đó.

Kerio Control cũng có chức năng này, Fortinet cũng có lọc ssl ngay từ firewall.

Gửi từ Samsung SM-N920C bằng vozFApp
 

microvn2012

Đã tốn tiền
Nhưng nó hoạt động cơ chế ntn các bác nhỉ? Có phải kav đã can thiêpj vào kết nối giữa em và voz?
Vậy sao voz vẫn chấp nhận mà ko thấy bái lỗi cert nhỉ?
 

microvn2012

Đã tốn tiền
đúng, ông bật web shield lên thì nó lại chẳng thế.

mà fen vui lên đi, đi làm công ty nó còn khổ hơn

View attachment 269431
Cái này là bác dùng máy công ty và họ áp ca, cert từ trên hệ thống xuống hay là máy cá nhân hoặc bất kì thiết bị nào connect internet qua con proxy của fsoft đều vậy b?
 

sigel

Đã tốn tiền
Cái này là bác dùng máy công ty và họ áp ca, cert từ trên hệ thống xuống hay là máy cá nhân hoặc bất kì thiết bị nào connect internet qua con proxy của fsoft đều vậy b?
fsoft không cho mang máy cá nhân kết nối vào mạng nội bộ trừ khi có sự cho phép của sếp nha maifen.
Và khi maifen kết nối qua con proxy fsoft là nó tự động quét nội dung ssl của maifen, nên bắt buộc phải import cert vào nếu không chrome nó báo đỏ :D
 
fsoft không cho mang máy cá nhân kết nối vào mạng nội bộ trừ khi có sự cho phép của sếp nha maifen.
Và khi maifen kết nối qua con proxy fsoft là nó tự động quét nội dung ssl của maifen, nên bắt buộc phải import cert vào nếu không chrome nó báo đỏ :D
Và mọi thứ fen xl trên voz này cty nó biết hết :sexy:
 

microvn2012

Đã tốn tiền
fsoft không cho mang máy cá nhân kết nối vào mạng nội bộ trừ khi có sự cho phép của sếp nha maifen.
Và khi maifen kết nối qua con proxy fsoft là nó tự động quét nội dung ssl của maifen, nên bắt buộc phải import cert vào nếu không chrome nó báo đỏ :D
thank thím. thím có master về cái hệ thống pki này không? em muốn thỉnh giáo, thím chỉ em chút :D
 

sigel

Đã tốn tiền
thank thím. thím có master về cái hệ thống pki này không? em muốn thỉnh giáo, thím chỉ em chút :D
ngày xưa mình có làm mấy cái bài tập về pki, dùng ejbca để tạo/quản lý CA với tạo cert cho web server (hiện giờ tôi đang xài để tạo cert cho đám website/thiết bị trong mạng ở nhà).
nếu thím chỉ muốn tạo ra mấy cái self signed cert để chạy apache thì dùng bộ tool của openssl tạo cho lẹ :D
https://jamielinux.com/docs/openssl-certificate-authority/introduction.html
 

microvn2012

Đã tốn tiền
ngày xưa mình có làm mấy cái bài tập về pki, dùng ejbca để tạo/quản lý CA với tạo cert cho web server (hiện giờ tôi đang xài để tạo cert cho đám website/thiết bị trong mạng ở nhà).
nếu thím chỉ muốn tạo ra mấy cái self signed cert để chạy apache thì dùng bộ tool của openssl tạo cho lẹ :D
https://jamielinux.com/docs/openssl-certificate-authority/introduction.html
thank thím. về cơ bản điều mình quan tâm nhất có thể ví dụ tiêu biểu như này:
khi mình truy cập voz hoặc 1 web bất kì có ssl nào đó thì có nó chỉ là quá trình gửi/nhận thông tin giữa máy mình và webserver hay cũng có sự tham dự của CA Server?
 

sigel

Đã tốn tiền
thank thím. về cơ bản điều mình quan tâm nhất có thể ví dụ tiêu biểu như này:
khi mình truy cập voz hoặc 1 web bất kì có ssl nào đó thì có nó chỉ là quá trình gửi/nhận thông tin giữa máy mình và webserver hay cũng có sự tham dự của CA Server?
CA chỉ dùng để ký cái private key trên con server thôi.
thím phải tự import Certificate vào trong trình duyệt (firefox hoặc chrome trên linux) hoặc import vào trong windows certificate store trước.
CA có cung cấp danh sách những certificate bị hủy thông qua OCSP link, nhưng mà CA không hỗ trợ tự động import certificate nhé.


Như vậy khi thím truy cập ssl site thì thím chỉ nói chuyện với cái trang đấy thôi, nếu trong cái certificate có link OCSP thì trình duyệt sẽ mở thêm kết nối đến cái link đấy để kéo danh sách revoke (certificate hết hạn) về.
 

microvn2012

Đã tốn tiền
CA chỉ dùng để ký cái private key trên con server thôi.
thím phải tự import Certificate vào trong trình duyệt (firefox hoặc chrome trên linux) hoặc import vào trong windows certificate store trước.
CA có cung cấp danh sách những certificate bị hủy thông qua OCSP link, nhưng mà CA không hỗ trợ tự động import certificate nhé.


Như vậy khi thím truy cập ssl site thì thím chỉ nói chuyện với cái trang đấy thôi, nếu trong cái certificate có link OCSP thì trình duyệt sẽ mở thêm kết nối đến cái link đấy để kéo danh sách revoke (certificate hết hạn) về.
Thank thím.
Chỗ này mình còn nhiều thắc mắc quá. Ví dụ:
1604625349917.png

Có thể thấy valid from thể hiện cert sẽ hết hạn vào 14.4.2021 vậy tức là sau ngày này thì m truy cập voz sẽ báo lỗi ssl?
Giả dụ trong 1 t/h khác, vì lý do gì đó phía ncc cert họ hủy "hiệu lực" của cert này trước ngày 14.4.2021 thì web browser có biết ko? thông qua ocsp? vậy lại giả dụ tiếp trong cert ko có ocsp hoặc ocsp giả hoặc đơn giản web browser ko connect đc tới ocsp server thì ntn thím nhỉ?
Thím có thể thông não giúp em nếu ko cảm thấy phiền, Many thank.
 

sigel

Đã tốn tiền
Thank thím.
Chỗ này mình còn nhiều thắc mắc quá. Ví dụ:
View attachment 274440
Có thể thấy valid from thể hiện cert sẽ hết hạn vào 14.4.2021 vậy tức là sau ngày này thì m truy cập voz sẽ báo lỗi ssl?
Giả dụ trong 1 t/h khác, vì lý do gì đó phía ncc cert họ hủy "hiệu lực" của cert này trước ngày 14.4.2021 thì web browser có biết ko? thông qua ocsp? vậy lại giả dụ tiếp trong cert ko có ocsp hoặc ocsp giả hoặc đơn giản web browser ko connect đc tới ocsp server thì ntn thím nhỉ?
Thím có thể thông não giúp em nếu ko cảm thấy phiền, Many thank.
yes, nếu thím truy cập sau ngày 14/4/2021 nó sẽ báo lỗi, nhưng mà thím nên nhớ là cái cert mà thím thấy nó được tạo ra ngay lúc thím mở trang web bởi thằng kaspersky, nên ngày hết hạn có thể thay đổi sang ngày khác.

nếu bên quản lý họ hủy cert trước ngày hết hạn thì họ sẽ:
1. cập nhật file CRL (certificate revocation list - danh sách chứng thực hết hạn/hủy),
2. cập nhật thông tin trên OCSP (nếu họ có)

với trường hợp 1 thì trừ khi thím tải file CRL về và nhập vào trình duyệt thì trình duyệt mới thông báo hết hạn (microsoft thường xuyên cập nhật danh sách này và đưa xuống máy thím dưới dạng windows update, đó là lý do tại sao nên bật window update), trên linux thì sẽ có gói cập nhật root certificate

với trường hợp 2 thì trình duyệt sẽ tự kết nối đến OCSP URL là tải danh sách về, việc này thực hiện tự động và sẽ hiển thị cảnh báo.


Nếu đường link OCSP trong cert không truy cập được hoặc certificate không có thông tin OCSP thì trình duyệt sẽ không cảnh báo trừ khi thím tự cập nhật CRL bằng tay.
 

microvn2012

Đã tốn tiền
yes, nếu thím truy cập sau ngày 14/4/2021 nó sẽ báo lỗi, nhưng mà thím nên nhớ là cái cert mà thím thấy nó được tạo ra ngay lúc thím mở trang web bởi thằng kaspersky, nên ngày hết hạn có thể thay đổi sang ngày khác.

nếu bên quản lý họ hủy cert trước ngày hết hạn thì họ sẽ:
1. cập nhật file CRL (certificate revocation list - danh sách chứng thực hết hạn/hủy),
2. cập nhật thông tin trên OCSP (nếu họ có)

với trường hợp 1 thì trừ khi thím tải file CRL về và nhập vào trình duyệt thì trình duyệt mới thông báo hết hạn (microsoft thường xuyên cập nhật danh sách này và đưa xuống máy thím dưới dạng windows update, đó là lý do tại sao nên bật window update), trên linux thì sẽ có gói cập nhật root certificate

với trường hợp 2 thì trình duyệt sẽ tự kết nối đến OCSP URL là tải danh sách về, việc này thực hiện tự động và sẽ hiển thị cảnh báo.


Nếu đường link OCSP trong cert không truy cập được hoặc certificate không có thông tin OCSP thì trình duyệt sẽ không cảnh báo trừ khi thím tự cập nhật CRL bằng tay.
Vậy là có 2 cách để client biết đc 1 cert đã hết hạn hay chưa
1 là update crl, có thể auto thông qua windows update. cách này thì khi sử dụng dịch vụ có chứng thực cert là biết luôn.
2 là dùng link ocsp của chính cert đó. Cách này nghe có vẻ hơi ảo. link ocsp trong 1 cert đã hết hạn sẽ báo chính cái cert đó đã hết hạn :D.

Bác giải thích thêm giúp em về trust root cert được ko ạ? Em thấy có rất nhiều NCC cert nhưng trong trust root (em vào qua giao diện mmc console snap-in của windows) thì chỉ có vài cert và em cũng ko hiểu tác dụng, vai trò của nó rõ ràng.
Thank bác.
 
Top