на главнуюВсе эхи RU.CRYPT
войти ?

Re: вранье?

От Serguei E. Leontiev (2:5020/400) к Victor Sudakov

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


From: "Serguei E. Leontiev" <leo@sai.msu.ru>

Привет Виктор,

От 3 декабря 2014 г., 9:50:52 в fido7.ru.crypt ты писал:
??>>> *Любой* УЦ может и не прогнется под органы.
SL>> Почему в будущем времени? Конечно, DigiNotar сдали после
SL>> скандала в результате атак на Иран, но боюсь, что его на
SL>> самом деле сдали в рамках конкурентной борьбы
SL>> "хозяйствующих" субъектов. :) А вот тот же Trustwave не
SL>> сдают и не выкидывают:
SL>> https://bugzilla.mozilla.org/show_bug.cgi?id=724929
VS> Там много буков. К чему там пришли в конце концов?

ИМХО, Status: RESOLVED WONTFIX, - не удалять.

SL>> Беда в том, что X.509 был задуман для иерархии ISO/IEC
SL>> X.500/X.400/LDAP, а используют его для иерархии DNS без
SL>> должного приспособления. В частности, любой УЦ может
SL>> выпустить сертификаты для практически любого TLS, IPsec,
SL>> OpenVPN и т.д. узла или S/MIME пользователя.
VS> Вот мне и кажется, что если привязать сертификаты сайтов к DNS
VS> - будет лучше.

Это ж вряд ли:) Честно говоря, я DNSSEC не изучал, не читал, но осуждаю
эти излишние сложности. :)

Тем более, что вряд ли жесткая привязка будет пользоваться популярностью
в народе, наверняка же будут определять доверенные сертификаты УЦ, и не
по одному.

??>>>> В этом отношении самоподписанные сертификаты
??>>>> оказываются даже надежнее: если сертификат сервера
??>>>> внезапно поменялся (без
SL>> А без сертификатов, шифрования и ЭЦП ещё надёжнее, всё
SL>> строго, что на витрине, то и в магазине, без обмана. :)
VS> Про "самоподписанные сертификаты надежнее" была не моя реплика.
VS> Hо зерно истины в этом есть, серверному ssh-отпечатку я как-то
VS> верю.

Думаю зря веришь.

??>>> А еще есть проекты по публикации SSL сертификтов прямо
??>>> в DNS (разумеется в защищенном DNSSEC), тогда все
??>>> централизованные УЦ становятся просто не нужны.
SL>> Это ж вряд ли, ИМХО, станет только хуже, т.к. просто
SL>> появится ещё одна точка для нарушений, дополнительно к
SL>> самому УЦ с его инфраструктурой прибавятся ещё и DNS
SL>> сервера.
VS> Hе дополнительно. УЦ с его инфраструктурой будут не нужны в
VS> этой модели.

А сертификаты откуда возьмутся? CRL, OCSP?

SL>> Вариант DNSSEC без сертификатов мог бы быть и не плох, если
SL>> бы его нормально спроектировали.
VS> Hе понял, как это "DNSSEC без сертификатов".

Когда публикуются и используются только открытые ключи и для DNS
серверов сертификатов не выпускают.


--
Успехов, Сергей Леонтьев. E-mail: lse@CryptoPro.ru
--- ifmail v.2.15dev5.4
* Origin: ГАИШ МГУ (2:5020/400)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=<1187497979@ddt.demos.su>+4862470d