From: Vladimir Didenko <vladimir.didenko@gmail.com>
To: ALT Linux Team development discussions <devel@lists.altlinux.org>
Subject: Re: [devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Date: Wed, 2 Aug 2017 11:32:01 +0300
Message-ID: <CAHRK1yOqtaW+Pn=ukt8cF2nLTqYknSN_RZUyMj+UB3D_z646UQ@mail.gmail.com> (raw)
In-Reply-To: <fb75912b6ebb702bfb680e3669cc130a@etersoft.ru>
2 августа 2017 г., 1:57 пользователь Vitaly Lipatov написал:
> И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты также и
> промежуточные сертификаты,
> чтобы пользователи (браузеры) могли проверить подлинность сертификата на
> сайт.
> Неужели это так замечательно? А где механизм подгрузки промежуточных
> сертификатов?
Во-первых, в чем проблема? При выпуске сертификатов сразу дают нужный
бандл с промежуточными CA, нужно только серверу скормить. Где
неудобство?
Во-вторых, как вы себе это представляете? Если сервер не будет
отдавать сертификаты промежуточных CA, то есть два варианта
1. Запихивать все промежуточные сертификаты на клиент. Но тут сразу
возникают проблемы
* Их много и они будут жрать место на диске, даже если пользователь
ими не разу не воспользуется
* Самое главное, этот список весьма динамичный, а программное
обеспечение на машинах может не обновляться годами. В результате, если
не обновляться, то очень быстро пользователь не сможет заходить на
свои любимые сайты.
2. В конечные сертификаты помещать ссылку, по которой можно скачать
промежуточные сертификаты, и загружать их во время установки
соединения. Вообще говоря, в большинстве случаев, эта ссылка в
существующих сертификатах уже есть, и ЕМНИП Internet Explorer умеет по
ним ходить и подгружать недостающие звенья, если сервер, вдруг, вернул
не полную цепочку. Но тут есть одна большая проблема - добавляется
одна лишняя точка отказа, то место откуда скачивается сертификат.
Сейчас это сервера CA, и если все ринутся массово оттуда скачивать
сертификаты, то
* это будет медленно и увеличит время на установление соединения
* это приведет к удоражанию сертификатов, поскольку CA придется
изыскивать дополнительные деньги на сервера, которые будут отдавать
промежуточные сертификаты
На самом деле, эта же самая проблема уже стоит с отзывом сертификатов,
когда информация о том отозван сертификат или нет получается от
серверов CA. В результате сложилась ситуация, когда проверка на то,
отозван сертификат или нет является в современных браузерах не
обязательной: получится получить информацию - хорошо, нет - ну и фиг с
ним. Это происходит по тому, что
* У некоторых CA CRL/OCSP сервера не работают вовсе
* У тех у кого работает, они работают не стабильно и не справляются с нагрузкой
Так что современная тенденция, это перенести обязанность на
возвращение информации об отзыве сертификата на сам сервер - см. OCSP
stapling.
--
С уважением,
Владимир.
next prev parent reply other threads:[~2017-08-02 8:32 UTC|newest]
Thread overview: 32+ messages / expand[flat|nested] mbox.gz Atom feed top
2017-07-31 21:31 Vitaly Lipatov
2017-08-01 6:06 ` Vladimir Didenko
2017-08-01 8:54 ` Paul Wolneykien
2017-08-01 14:22 ` Dmitry V. Levin
2017-08-01 15:47 ` Konstantin Lepikhov
2017-08-01 16:26 ` Dmitry Derjavin
2017-08-01 18:24 ` Konstantin Lepikhov
2017-08-01 19:47 ` Dmitry Derjavin
2017-08-01 21:17 ` Konstantin Lepikhov
2017-08-01 21:31 ` Alexey Gladkov
2017-08-01 21:47 ` Konstantin Lepikhov
2017-08-02 9:55 ` Michael Shigorin
2017-08-02 10:39 ` Paul Wolneykien
2017-08-02 10:48 ` Dmitry V. Levin
2017-08-02 11:03 ` Alexey Gladkov
2017-08-02 13:24 ` Paul Wolneykien
2017-08-02 13:30 ` Paul Wolneykien
2017-08-02 14:05 ` Konstantin Lepikhov
2017-08-04 11:36 ` Yury A. Romanov
2017-08-01 22:37 ` Vitaly Lipatov
2017-08-01 22:57 ` Vitaly Lipatov
2017-08-01 23:48 ` Alexey Gladkov
2017-08-02 14:34 ` Vitaly Lipatov
2017-08-02 15:29 ` Alexey Gladkov
2017-08-02 16:24 ` Vitaly Lipatov
2017-08-02 8:32 ` Vladimir Didenko [this message]
2017-08-02 9:13 ` Konstantin Lepikhov
2017-08-02 9:24 ` Vladimir Didenko
2017-08-02 10:21 ` Konstantin Lepikhov
2017-08-02 14:41 ` Vitaly Lipatov
2017-08-01 17:51 ` Paul Wolneykien
2017-08-04 11:40 ` Paul Wolneykien
Reply instructions:
You may reply publicly to this message via plain-text email
using any one of the following methods:
* Save the following mbox file, import it into your mail client,
and reply-to-all from there: mbox
Avoid top-posting and favor interleaved quoting:
https://en.wikipedia.org/wiki/Posting_style#Interleaved_style
* Reply using the --to, --cc, and --in-reply-to
switches of git-send-email(1):
git send-email \
--in-reply-to='CAHRK1yOqtaW+Pn=ukt8cF2nLTqYknSN_RZUyMj+UB3D_z646UQ@mail.gmail.com' \
--to=vladimir.didenko@gmail.com \
--cc=devel@lists.altlinux.org \
/path/to/YOUR_REPLY
https://kernel.org/pub/software/scm/git/docs/git-send-email.html
* If your mail client supports setting the In-Reply-To header
via mailto: links, try the mailto: link
ALT Linux Team development discussions
This inbox may be cloned and mirrored by anyone:
git clone --mirror http://lore.altlinux.org/devel/0 devel/git/0.git
# If you have public-inbox 1.1+ installed, you may
# initialize and index your mirror using the following commands:
public-inbox-init -V2 devel devel/ http://lore.altlinux.org/devel \
devel@altlinux.org devel@altlinux.ru devel@lists.altlinux.org devel@lists.altlinux.ru devel@linux.iplabs.ru mandrake-russian@linuxteam.iplabs.ru sisyphus@linuxteam.iplabs.ru
public-inbox-index devel
Example config snippet for mirrors.
Newsgroup available over NNTP:
nntp://lore.altlinux.org/org.altlinux.lists.devel
AGPL code for this site: git clone https://public-inbox.org/public-inbox.git