セキュリティで保護されたコンテンツを配信するためのLAMPスタックソリューションを構築したいと思いますが、そのコンテンツが何であるかを知りたくありません。私はファイルの暗号化を試しましたが、セキュリティで保護されたコンテンツをリモートブラウザに転送して表示するという問題がありました。私はメガのような暗号化されたファイルを送信しないようにしたい、代わりに強力なSSLでHTTPSを使用したい。1つのドメインに対する複数のSSL証明書 - 方法
ドメイン全体に対して単一のSSL証明書を使用すると、私(証明書所有者)がストリームを復号化できるようになります。
私は、ユーザーごとのSSLで暗号化されたサーバー証明書をユーザーごとに使用することで、この問題を解決したいと考えています。
問題を解決するには、1つのドメインで複数のSSL証明書を使用する方法があります。これを行う方法?
私はNgnixを使用していますが、Apacheを使用したいと考えています。
LAMPスタックでは何もできませんが、ユーザー固有の証明書を要求するためにTLSハンドシェイクを行う前に、何らかの形でユーザーを識別するWebサーバーを作成する必要があります。 Apacheやnginxのような既存のサーバは、サーバには静的な証明書を前提としており、何らかの形でユーザに関連付けられている動的なものではありません。
しかし、あなたがそのようなサーバーを作成しても、あなたが持っていると思われる主な目標を提供する、つまりWebサーバーの所有者から提供されたコンテンツを隠すことはおそらく役に立ちません。 SSL/TLSはエンドツーエンドの暗号化です。つまり、トランスポートのために暗号化される前に、プレーンテキストとしてサーバー上でコンテンツを利用できるようにする必要があります。これは、サーバーの所有者がコンテンツにアクセスできることを意味します。
サーバーの所有者にアクセス権がないことを確認できる唯一の方法は、送信者と受信者が知っているだけで、サーバーの所有者は知らないキーでファイルを暗号化することです。それはメガが使用するコンセプトです。
あなたの答えをありがとう、これは私が探していたものです。 –
これはそのままでは実現不可能です。 SSL証明書は当局によって検証されなければならず、依然として非常に恒久的であり、実際には「オンザフライ」で生成することはできません。多分誰かがよく知っているかもしれませんが、これは正しいとは言えません。 –
WebサーバーからHTTPS経由で暗号化されていないファイルを送信する場合、そのサーバーのオペレータはデータも見ることができます。あなたはストリームを傍受する必要はなく、サーバーを見ることができます。あなた自身がファイルを読むことを不可能にしたい場合は、エンドツーエンドの暗号化が必要です(ファイルが暗号化されて送信され、クライアントアプリケーションで復号化が行われることを意味します)。 – Thilo
私はルート認証局からSSL証明書を使用するつもりはないので、自分のCA、中間CA、自己署名を設定する予定です。アイデアはセキュリティを保証することであり、NSAが今までにいくつかのルート/仲介機関を傷つけていないことを本当に保証することはできません。私はRAMにファイルを暗号化しておき、それを送信しています。私は暗号化されていないコンテンツを自分で取得することを非常に困難にしています。それがアイデアです。 1つのドメインで複数のSSL証明書を使用するにはどうすればいいですか? –