From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.9 required=5.0 tests=BAYES_00,FSL_HELO_HOME
 autolearn=no autolearn_force=no version=3.4.1
Date: Wed, 2 Aug 2017 11:13:10 +0200
From: Konstantin Lepikhov <lakostis@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20170802091310.GA21811@lks.home>
Mail-Followup-To: devel@lists.altlinux.org
References: <85c03fbd591d2075720764d1c19e7b33@altlinux.ru>
 <20170801154706.GA13538@lks.home>
 <fb75912b6ebb702bfb680e3669cc130a@etersoft.ru>
 <CAHRK1yOqtaW+Pn=ukt8cF2nLTqYknSN_RZUyMj+UB3D_z646UQ@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <CAHRK1yOqtaW+Pn=ukt8cF2nLTqYknSN_RZUyMj+UB3D_z646UQ@mail.gmail.com>
X-Operation-System: ALT Linux starter kit (Trientalis) 4.12.0-lks-wks-alt0.2
User-Agent: Mutt/1.6 (2015-08-30)
Subject: Re: [devel] =?utf-8?b?0JLQt9Cz0LvRj9C0INC90LAg0YHQtdGA0YLQuNGE0Lg=?=
 =?utf-8?b?0LrQsNGC0Ysg0LIgL3Vzci9zaGFyZS9jYS1jZXJ0aWZpY2F0ZXMvY2EtYnVu?=
 =?utf-8?b?ZGxlLmNydCDQuCDRgdC10YDRgtC40YTQuNC60LDRgtGLINCj0KYg0KDQpA==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 02 Aug 2017 09:13:16 -0000
Archived-At: <http://lore.altlinux.org/devel/20170802091310.GA21811@lks.home/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Hi Vladimir!

On 08/02/17, at 11:32:01 AM you wrote:

<skip>
>  * У некоторых CA CRL/OCSP сервера не работают вовсе
>  * У тех у кого работает, они работают не стабильно и не справляются с нагрузкой
Вы так пишете, будто это прям везде и повмеместно. На самом деле это
происходит с вашим CA, то лучше сменить этот CA на что-то другое,
поскольку недоступность веб-ресурсов это проблема организации
инфраструктуры раздачи контента а не PKI.

> Так что современная тенденция, это перенести обязанность на
> возвращение информации об отзыве сертификата на сам сервер - см. OCSP
> stapling.
Это один из вариантов использования OCSP stapling, на самом деле он создан
совсем для другого - чтобы защититься от MITM атак.

-- 
WBR et al.