imediat am decis să fac unele cercetări pe această temă de browsere de Internet lucrează cu certificate digitale - atât server și client, chiar și lucrurile mici. Sincer, utilizatorii de acasă nu au nevoie de lucruri de genul asta, la toate, dar ele pot necesita un utilizator corporative. Rezultatele studiului au fost mica mea surpriză. Dar vom muta un rând. Pentru a începe cu o listă de subiecte (majoritatea versiunilor curente la momentul detașării):
Toate browserele au fost testate pe Windows 7 Enterprise x64. Ce este verificat? A verifică următoarele:
Prin acest punct îmi dau seama doar suporta SSL 3.0 și SSL Certificate Standard. Nimic specific. În general, acesta este standardul de facto și toate browserele acest paragraf în deplină solidaritate :-)
Punct foarte relevant pentru sectorul corporativ. Deoarece portalurile interne (în special pe SharePoint) utilizați intrări nume de utilizator Active Directory pentru diferențierea drepturilor de acces la elementele și paginile site-ului companiei utilizând Windows (sau integrat) autentificare. Fără aceasta, utilizatorul va trebui să introduceți de fiecare dată când numele de utilizator și parola pentru a accesa site-ul, care este foarte trist și foarte enervant. Și dacă există o astfel de autentificare de trecere, sistemul trimite automat datele de conectare (de obicei, Kerberos bilet, și nu numele de utilizator și parola într-o formă pură, așa cum ar putea crede unii) la server. Desigur, oferind datele de conectare (deși criptat), toate într-un rând - nu cea mai bună idee în această viață. Prin urmare, există un mecanism suplimentar, care determină cine le poate trimite sau nu. IE utilizează zona de Internet pentru a separa site-uri. În mod implicit, Internet Explorer'u permisiunea de a trimite scrisorile de acreditare numai acele site-uri care sunt în zona Intranet local. De obicei portaluri corporative sunt adăugate administratorii din zona prin GPO. La stația unică este configurată în panoul de control al applet-ului Internet Options.
Unii oameni cred că doar IE poate utiliza autentificarea pass-through pe Web. Dar nu este adevărat, deoarece Google Chrome utilizează, de asemenea, zona de Internet pentru a determina cine a trimite scrisorile de acreditare.
- implementare personalizată pentru Windows / autentificare integrat
Uneori, în această viață astfel de situații, atunci când utilizarea de utilizator și parola pentru a accesa site-ul web este foarte periculos (mai ales dacă sunt informații foarte sensibile sunt stocate pe site-ul). Certificatele de utilizator pot fi utilizate pentru a îmbunătăți autentificarea. Utilizatorul pur și simplu prezintă și, prin urmare, autentificată de pe serverul Web. Din nou, implicit pentru certificatele de utilizator folosite de către depozitul de certificate de utilizator sistem de căutare (certmgr.msc). Dar nu este necesar (deși recomandat), și poate face punerea în aplicare a acestora.
În principiu, această caracteristică este acceptată (un fel sau altul) toate browserele. Cu toate acestea, aceasta nu funcționează în Opera. Nimic. Butoanele trebuie să mănânce, dar ei dau erorile și toate. Prin urmare, pentru Opera aici am pus o cruce roșie.
Cele mai multe aplicații care utilizează certificate, utilizarea built-in Windows Store certificat pentru a determina credibilitatea și utilizarea certificatelor de utilizator. Dar, în browsere de Internet nu este o condiție strictă, deși foarte util, deoarece nimic în plus, nu este necesar să se adapteze.
Internet Explorer (surprinzător, nu-i asa?), Google Chrome și Apple Safai utilizați un magazin standard de certificat. Mozilla Firefox și Opera nu-l sprijină în nici un fel.
Notă: Cu toate acestea, acest lucru nu înseamnă că Chrome și Safari va arăta o bandă verde pe certificatul de validare SSL Extended. Ie în cazul în care sistemul de încredere în certificatul rădăcină (acesta este instalat într-un container Trusted Root CAs), Chrome și Safari va avea încredere în el. Dar Zelenka (dacă este configurat pentru Internet Explorer) nu va fi afișată.
pentru că utilizarea unui depozit de certificate standard nu este necesară pentru browsere, Mozilla Firefox și Opera utilizează propriul depozit pentru a valida certificatele SSL de încredere, precum și pentru utilizarea certificatelor client pentru autentificarea pe web. Deci, dacă utilizați certificatele interne (măritișului proprii CA), cel mai probabil, acestea nu vor funcționa în aceste browsere, și va trebui să le configurați separat aceste browsere să aibă încredere în certificatul. În ceea ce privește certificatele de utilizator, va trebui să exporte certificatul de la depozitul de la pfx și importați-l în browser. Acest lucru este incomod și, în general, de rău.
Și acum totul se colectează într-un tabel elegant: