на главнуюВсе эхи RU.CRYPT
войти ?

вранье?

От Victor Sudakov (2:5005/49) к Serguei E. Leontiev

В ответ на Заголовок предыдущего сообщения в треде (Имя Автора)


Dear Serguei,

03 Dec 14 01:26, you wrote to me:
>> *Любой* УЦ может и не прогнется под органы.

SL> Почему в будущем времени? Конечно, DigiNotar сдали после скандала в
SL> результате атак на Иран, но боюсь, что его на самом деле сдали в
SL> рамках конкурентной борьбы "хозяйствующих" субъектов. :) А вот тот же
SL> Trustwave не сдают и не выкидывают:

SL> https://bugzilla.mozilla.org/show_bug.cgi?id=724929

Там много буков. К чему там пришли в конце концов?

SL> А думаешь они одни такие выпускали и выпускают сертификаты для
SL> специализированных подчинённых УЦ?

>> но беда всей системы доверия в WWW

SL> Беда в том, что X.509 был задуман для иерархии ISO/IEC
SL> X.500/X.400/LDAP, а используют его для иерархии DNS без должного
SL> приспособления. В частности, любой УЦ может выпустить сертификаты для
SL> практически любого TLS, IPsec, OpenVPN и т.д. узла или S/MIME
SL> пользователя.

Вот мне и кажется, что если привязать сертификаты сайтов к DNS - будет лучше.

SL> Хотя на фоне собственно современного состояния протокола TLS/SSL,
SL> сертификаты не выглядят самым слабым звеном.

>>> В этом отношении самоподписанные сертификаты оказываются даже
>>> надежнее: если сертификат сервера внезапно поменялся (без

SL> А без сертификатов, шифрования и ЭЦП ещё надёжнее, всё строго, что на
SL> витрине, то и в магазине, без обмана. :)

Про "самоподписанные сертификаты надежнее" была не моя реплика.
Но зерно истины в этом есть, серверному ssh-отпечатку я как-то верю.

>> А еще есть проекты по публикации SSL сертификтов прямо в DNS
>> (разумеется в защищенном DNSSEC), тогда все централизованные УЦ
>> становятся просто не нужны.

SL> Это ж вряд ли, ИМХО, станет только хуже, т.к. просто появится ещё одна
SL> точка для нарушений, дополнительно к самому УЦ с его инфраструктурой
SL> прибавятся ещё и DNS сервера.

Не дополнительно. УЦ с его инфраструктурой будут не нужны в этой модели.

SL> Вариант DNSSEC без сертификатов мог бы быть и не плох, если бы его
SL> нормально спроектировали.

Не понял, как это "DNSSEC без сертификатов".

Victor Sudakov, VAS4-RIPE, VAS47-RIPN
--- GoldED+/BSD 1.1.5-b20110223-b20110223
* Origin: Ulthar (2:5005/49)

Ответы на это письмо:

From: Username
Заголовок следующего сообщения в треде может быть длинным и его придется перенести на новую строку

From: Username
Или коротким

FGHI-url этого письма: area://RU.CRYPT?msgid=2:5005/49+547e8f2b