synology.forum архив спільноти · 2005–2022
ai.synology.forum →
ГлавнаяУстановка, Загрузка и Настройка › Подмена сертификата для https

Подмена сертификата для https

Siroc-co · 06.04.2017

О проблеме начну из далека. Удалённо со своим NAS работаю часто. Часто интернет беру из "сомнительных" мест, как метро, кафешки, и т.д. Естественно использую шифрование. Есть доменное имя назову его mynas.com. Все приложения настроены использовать https, сертификат от Let's Encrypt. Настроили, прекрасно работает. Раз в два(или три) месяца сертификат обновляется (меняется).

В случае замены сертификата приложения честно предупреждают, что изменился цифровой отпечаток ключа, что это может быть атака или просто изменение сертификата. Раньше не напрягало.

Теперь, особенно в метро, такое предупреждение вижу часто, чаще, даже, чем меняется сертификат. Это означает, что мой в мой трафик кто-то вмешивается. Мне это не по душе.

Было решено купить ещё одно доменное имя, назовём его myappsnas.com, и сделать сертификат для него самостоятельно, самозаверенный. Есть недоверие к всяким Let's Encrypt, а история показывает что недоверие обосновано. Настроил для myappsnas.com самозаверенный сертификат, и использую этот адрес только в приложениях. А для web доступа - mynas.com с сертификатом Let's Encrypt.

Всё работало. Приложения работают, сайт не ругается на левый сертификат. Теперь знаю на 100%, что цифровой отпечаток ключа никогда не поменяется, ибо сертификат постоянен. Но как бы не так.

Прошло время, и снова появилось предупреждение. Let's Encrypt продлил свой сертификат. А на домене myappsnas.com сертификат стал определяться как выданный центром Let's Encrypt, но выдан он для домена mynas.com, и поэтому не валиден.

Объясните, что за ерунда твориться? Почему Let's Encrypt лезет в мой самозаверенный сертификат?