Comments | arkanoid: Про PKI

arkanoid

Про PKI

Oct 11, 2010 15:03

Не знаю, для кого я это пишу. Мне кажется, что те, кто знает основы функционирования инфраструктуры публичных ключей и так в курсе, а остальным это неинтересно и непонятно. Однако, vitus-wagner меня спровоцировал на этот пост своим утверждением, что концепции PKI не укладываются у людей в голове и сурово осуждал использование самоподписанных сертификатов, как ( Read more... )

computers, security, itblogs

Leave a comment

Back to all threads

msh October 11 2010, 12:14:18 UTC

Ну так уже всем стало очевидно, что построенная для веба инфраструктура сертификатов - это fail. Поэтому на нее плюнули и ввели поверх нее новую - EV ;-)

arkanoid October 11 2010, 12:26:06 UTC

Которая тоже fail и отличается только размером песочницы, потому что первая стала слишком большой.

msh October 11 2010, 12:34:44 UTC

Она чуть менее fail - например, там есть разделение зон доверия - CA дает сертификаты только внутри определенных юрисдикций

arkanoid October 11 2010, 12:51:00 UTC

Ну все в основном упирается в типичные костыли: правила построже, субординированные CA и wildcards отменены. На системное решение не тянет, скорее похоже на попытку "сделать, как было 15 лет назад".

msh October 11 2010, 13:00:07 UTC

Ну там решены две серьезных проблемы обычных сертификатов - то, что CA может быть любая неконтролируемая шарашка из дикой страны, и то, что можно получить сертификат, идентифицировав себя информацией, валидность которой на самом деле сертификат должен и был защищать - украл домен, больше ничего не нужно, можно на него получить сертификат.

Но да, конечно это не системное решение.

Back to all threads