SSL und Chrome

Yogi7777

Cadet 1st Year
Registriert
Okt. 2020
Beiträge
13
Hallo Leute,

Ich bräuchte mal ein paar Tipps oder Anregungen von Euch.

Heutzutage reklamieren alle Browser wenn man keine https Verbindung aufbaut.
Viele Geräte (TV, APs, Switches usw.) können zwar SSL aber das Zertifikat ist meistens ein Self Signed.

Gibt es eine Möglichkeit z.B. bei Chrome solche Abfragen für interne Netze komplett zu deaktivieren?
Oder wie handhabt Ihr solche Geräte? Importiert Ihr das Zertifikat jedes Geräts? (Ein sehr umständlicher Weg).

Ich hoffe auf eine angeregte Diskussion :)

Danke
 
EInfach auf "Weiter (unsicher)" klicken und die Meldung kommt (für dieses Gerät) nie wieder.
1602661201107.png
 
Erstell dir ein Stammzertifikat, importiere das in jedem Client und leite von dem die Zertifikate für die Deployments ab. Dann musst du nur das Stammzertifikat handlen. Musst allerdings beim Firefox aufpassen, da dieser ja einen eigenen Zertifikatsspeicher besitzt und nicht den vom OS verwendet. Das könnte man aber über security.enterprise_roots.enabled managen.

Alternativ wenn du nen Server hast, würde ich die Subdomain local o.ä. erstellen, dieses auf dem Server via LE anfordern und das dann lokal ausliefern. Heißt natürlich allerdings, dass du dir spätestens alle drei Monate das Zertifikat vom Server holen musst. Erfordert allerdings auch, dass du nen DNS Server fürs lokale Netz aufsetzt, der die entsprechende Domain selbst ausliefert. Ist mehr Aufwand, aber die sauberere Methode, da das somit bei allen Clients funktioniert, ohne dass du dein eigenes Zertifikat in den Speicher schieben musst (was dann auch jegliche Art von Handy, Tablet und sonstiges Gerät betrifft).
 
Hi,


conf_t schrieb:
EInfach auf "Weiter (unsicher)" klicken und die Meldung kommt (für dieses Gerät) nie wieder.

Ja das ist eine Option. Allerdings kommt die Meldung nicht immer. Insbesondere wenn HSTS im Spiel ist.
chrome://net-internals/#hsts
 
Entweder du nutzt HTTP, oder man macht es richtig und erstellt eine eigene CA (sehr einfach z.B. mit XCA). Da kannst du dann für jedes Gerät gültige Zertifikate ausstellen. Diese Self-signed Zertifikate der Hersteller sind eigentlich nicht zu gebrauchen.
 
Zurück
Oben