From mboxrd@z Thu Jan  1 00:00:00 1970
Return-Path: <lakostis@altlinux.org>
X-Spam-Checker-Version: SpamAssassin 3.4.1 (2015-04-28) on
 sa.local.altlinux.org
X-Spam-Level: 
X-Spam-Status: No, score=-0.9 required=5.0 tests=BAYES_00,FSL_HELO_HOME
 autolearn=no autolearn_force=no version=3.4.1
Date: Wed, 2 Aug 2017 12:21:53 +0200
From: Konstantin Lepikhov <lakostis@altlinux.org>
To: devel@lists.altlinux.org
Message-ID: <20170802102153.GA28295@lks.home>
Mail-Followup-To: devel@lists.altlinux.org
References: <85c03fbd591d2075720764d1c19e7b33@altlinux.ru>
 <20170801154706.GA13538@lks.home>
 <fb75912b6ebb702bfb680e3669cc130a@etersoft.ru>
 <CAHRK1yOqtaW+Pn=ukt8cF2nLTqYknSN_RZUyMj+UB3D_z646UQ@mail.gmail.com>
 <20170802091310.GA21811@lks.home>
 <CAHRK1yP7oDtasFJtJMUwyMtAHZFTOUDQvqh4niQf0Lc-y1qrDg@mail.gmail.com>
MIME-Version: 1.0
Content-Type: text/plain; charset=utf-8
Content-Disposition: inline
Content-Transfer-Encoding: 8bit
In-Reply-To: <CAHRK1yP7oDtasFJtJMUwyMtAHZFTOUDQvqh4niQf0Lc-y1qrDg@mail.gmail.com>
X-Operation-System: ALT Linux starter kit (Trientalis) 4.12.0-lks-wks-alt0.2
User-Agent: Mutt/1.6 (2015-08-30)
Subject: Re: [devel] =?utf-8?b?0JLQt9Cz0LvRj9C0INC90LAg0YHQtdGA0YLQuNGE0Lg=?=
 =?utf-8?b?0LrQsNGC0Ysg0LIgL3Vzci9zaGFyZS9jYS1jZXJ0aWZpY2F0ZXMvY2EtYnVu?=
 =?utf-8?b?ZGxlLmNydCDQuCDRgdC10YDRgtC40YTQuNC60LDRgtGLINCj0KYg0KDQpA==?=
X-BeenThere: devel@lists.altlinux.org
X-Mailman-Version: 2.1.12
Precedence: list
Reply-To: ALT Linux Team development discussions <devel@lists.altlinux.org>
List-Id: ALT Linux Team development discussions <devel.lists.altlinux.org>
List-Unsubscribe: <https://lists.altlinux.org/mailman/options/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=unsubscribe>
List-Archive: <http://lists.altlinux.org/pipermail/devel>
List-Post: <mailto:devel@lists.altlinux.org>
List-Help: <mailto:devel-request@lists.altlinux.org?subject=help>
List-Subscribe: <https://lists.altlinux.org/mailman/listinfo/devel>,
 <mailto:devel-request@lists.altlinux.org?subject=subscribe>
X-List-Received-Date: Wed, 02 Aug 2017 10:21:59 -0000
Archived-At: <http://lore.altlinux.org/devel/20170802102153.GA28295@lks.home/>
List-Archive: <http://lore.altlinux.org/devel/>
List-Post: <mailto:devel@altlinux.org>

Hi Vladimir!

On 08/02/17, at 12:24:18 PM you wrote:

> 2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал:
> 
> > Вы так пишете, будто это прям везде и повмеместно.
> 
> Насколько я знаю, везде и повсеместно. Были добровольцы (читал в
> багзилле Mozilla), которые принудительно включали обязательную
> проверку revocation статуса - жить с этим не возможно.
У меня она включена везде, проблемы замечал только если пользуешься
каким-нибудь кривым прокси, который режет запросы или пытается засунуть
свой сертификат в сессию.

> > Это один из вариантов использования OCSP stapling, на самом деле он создан
> > совсем для другого - чтобы защититься от MITM атак.
> >
> 
> Я не понял суть замечания. OCSP stapling был создан для того, чтобы
> информацию об отзыве сертификата возвращал непосредственно сам TLS
> сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому,
> что информация об отзыве нужна для предотвращения MITM.
Окей, это один из вариантов использования:

> While it may appear that allowing the site operator to control
> verification responses would allow a fraudulent site to issue false
> verification for a revoked certificate, the stapled responses can't be
> forged as they need to be directly signed by the certificate authority,
> not the server.
https://en.wikipedia.org/wiki/OCSP_stapling#cite_note-Gibson-OCSP-Must-Staple-3

-- 
WBR et al.