Хочу опубликовать закрытый ключ SSL сертификата от тестового домена для тестовых целей. Хорошая ли это идея?

Я использовал самодельный SSL сертификат, сгенерировать его легко, а вот сделать так, чтобы браузеры на него не ругались, уже не так просто.

capslocky, разумеется, но ключ от Lets Вам ничем не поможет. SSL-сертификаты - это огромный бизнес.

CityCat4, я просто хочу дать людям один настоящий SSL ключ от фиксированного домена для локального тестирования. Хорошая идея? Кажется, я не затрагиваю ничьи интересы.

capslocky, И будете каждые 90 дней его менять?

CityCat4, это как один из вариантов. Если будет популярно, то куплю и опубликую платный SSL сертификат на 12 месяцев. Можно еще организовать сбор средств на wildcard.

capslocky, Мне кажется этого делать не стоит - CA его тут же отзовет.

CityCat4, тогда наверное стоит заранее договориться с CA, что выпущенный ключ будет публично опубликован, и это нужно для облегчения тестирования https в локальных окружениях. Объяснить, что это просто нестандартное использование ключа, и это никак не влият на спрос на сертификаты. Можно даже пойти на обоюдовыгодную сделку: я размещаю рекламу CA, а он мне делает скидку. Ведь на самом деле выигрывают все?

capslocky, Ха-ха, два раза. Вы, уважаемый, случайно не Дерипаска? Или может быть Олег Николаевич Тинькофф? Ну или там Киркоров, на худой конец... СA - это гигантский, невероятно прибыльный бизнес, практически игровые автоматы, потому что продают они ... доверие. Выпуская сертификат, они гарантируют своим авторитетом тот факт, что данный сертификат принадлежит тому, кто его использует и больше никому. Главное здесь - это авторитет СA, доверие пользователей к нему. Конкуренция очень жесткая, StarlSSL прокосячил - и тут же вылетел из списка корневых у гугла, FF и яббла - а это значит, что все выданные им сертификаты враз стали недоверенными.
Ни один вменяемый CA даже слушать Вас не станет - потому что вот этот бред, который канает для бесплатного LE, там где начинаются деньги, закончится тут же.

CityCat4, я рад, что у нас такая интересная дискуссия! И я теперь не так уверен, что моя необычная идея найдет всеобщее понимание. У меня немного другое представление о принципе доверия к CA. Как известно, SSL сертификаты решают следующие три основные проблемы: 1) Защита трафика от подсмотра 2) Защита трафика от модификаций 3) Гарантия браузеру, что данный хостинг сервер (IP адрес) действительно используется владельцем доменного имени.

То есть задача любого CA это гарантировать, что только настоящий владелец доменного имени может получить их SSL сертификат на данный домен. А издатели браузеров полагаются, что все включенные в их браузер CA выполняет эту функцию безупречно.

И учитывая, что трафик на мой сайт не будет содержать никакой конфедициальной информации, не имеет значения сколько людей будут владеть его ключом - или только я, или 10 моих друзей или 10 тысяч незнакомцев, это никак не подрывает обозначенное доверие к CA. Логично?

1) Защита трафика от подсмотра 2) Защита трафика от модификаций

Это верно

3) Гарантия браузеру, что данный хостинг сервер (IP адрес) действительно используется владельцем доменного имени.

Это нет. В корне. СA гарантирует своим авторитетом, что данный сертификат принадлежит тому же человеку/организации, что и сервер, на котором он установлен. То есть, сертификат на доменное имя vasya-pupkin.com получит Вася Пупкин, при условии, что он докажет право администрирования сайта vasya-pupkin.com (опустим организации, там механизм "доказать, что ты - это ты" куда сложнее). Поскольку может существовать один-единственный vasya-pupkin.com (ну в общей сети, Интранет опять же не рассматриваем) получается однозначное соответствие "если на сайте vasya-pupkin.com стоит сертификат выпущенный допустим конторой "Pertov, Vasechkin and Co.", то указанные Петров, Васечкин и компания гарантируют, что сайт принадлежит Васе Пупкину (а не Саре Абрамовне Левенштейн, маскирующейся под него)". Однозначное, понимаете? Сайт vasya-pupkin.com принадлежит тому, кто прописан в CN сертификата - это гарантируется авторитетом CA. Именно это, собственно и покупают люди/организации - факт, что толстая и уважаемая контора подтвердит, что "этот сайт - наш". А не подделка.
Если десять тысяч людей ставят себе одинаковый сертификат и появляются десять тысяч сайтов vasya-pupkin.com (а поставить другое имя нельзя - оно прописано в сертификате) - какой из них настоящий?
Да, я понимаю, бывают случаи утечки ключа - но это именно утечки, с которыми борются и по возможности сообщают в CA, который ключ отзывает и выпускает новый.
Впрочем, единственно главным будет мнение CA на этот счет.

Тут Вы не правы, владелец домена vasya-pupkin.com укажет IP адрес своего хостинг сервера, и будет только один настоящий сайт vasya-pupkin.com. Никто в мире больше не сможет захостить этот сайт в интернете, только у себя в локальном окружении. Добавлю, что этот сайт также будет удобно использовать для демонстрации MITM, чтобы показать всем, как важно скрывать приватные ключи.

capslocky, Ну, тут главное Вам будет убедить CA, если у него возникнут вопросы. Не возникнут - да и фиг с ним :) Насчет MiTM - согласен.

CityCat4, большое спасибо за дискуссию! Теперь я знаю, что мне нужно делать. Подходящее доменное имя я купил, теперь моя задача убедить CA, что идея адекватная.

capslocky, Удачи :)

Кстати, vasya-pupkin.com не существует, а вот vasya-pupkin.ru - вполне себе открывается :)