От Serguei E. Leontiev (2:5020/400) к Victor Sudakov
В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)
??>>> *Любой* УЦ может и не прогнется под органы.
SL>> Почему в будущем времени? Конечно, DigiNotar сдали после
SL>> скандала в результате атак на Иран, но боюсь, что его на
SL>> самом деле сдали в рамках конкурентной борьбы
SL>> "хозяйствующих" субъектов. :) А вот тот же Trustwave не
SL>> сдают и не выкидывают:
SL>> https://bugzilla.mozilla.org/show_bug.cgi?id=724929
VS> Там много буков. К чему там пришли в конце концов?
SL>> Беда в том, что X.509 был задуман для иерархии ISO/IEC
SL>> X.500/X.400/LDAP, а используют его для иерархии DNS без
SL>> должного приспособления. В частности, любой УЦ может
SL>> выпустить сертификаты для практически любого TLS, IPsec,
SL>> OpenVPN и т.д. узла или S/MIME пользователя.
VS> Вот мне и кажется, что если привязать сертификаты сайтов к DNS
VS> - будет лучше.
??>>>> В этом отношении самоподписанные сертификаты
??>>>> оказываются даже надежнее: если сертификат сервера
??>>>> внезапно поменялся (без
SL>> А без сертификатов, шифрования и ЭЦП ещё надёжнее, всё
SL>> строго, что на витрине, то и в магазине, без обмана. :)
VS> Про "самоподписанные сертификаты надежнее" была не моя реплика.
VS> Hо зерно истины в этом есть, серверному ssh-отпечатку я как-то
VS> верю.
??>>> А еще есть проекты по публикации SSL сертификтов прямо
??>>> в DNS (разумеется в защищенном DNSSEC), тогда все
??>>> централизованные УЦ становятся просто не нужны.
SL>> Это ж вряд ли, ИМХО, станет только хуже, т.к. просто
SL>> появится ещё одна точка для нарушений, дополнительно к
SL>> самому УЦ с его инфраструктурой прибавятся ещё и DNS
SL>> сервера.
VS> Hе дополнительно. УЦ с его инфраструктурой будут не нужны в
VS> этой модели.
SL>> Вариант DNSSEC без сертификатов мог бы быть и не плох, если
SL>> бы его нормально спроектировали.
VS> Hе понял, как это "DNSSEC без сертификатов".
--- ifmail v.2.15dev5.4
* Origin: ГАИШ МГУ (2:5020/400)
Ответы на это письмо: