[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

Vladimir Didenko vladimir.didenko на gmail.com
Ср Авг 2 11:32:01 MSK 2017 

2 августа 2017 г., 1:57 пользователь Vitaly Lipatov  написал:
> И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты также и
> промежуточные сертификаты,
> чтобы пользователи (браузеры) могли проверить подлинность сертификата на
> сайт.
> Неужели это так замечательно? А где механизм подгрузки промежуточных
> сертификатов?

Во-первых, в чем проблема? При выпуске сертификатов сразу дают нужный
бандл с промежуточными CA, нужно только серверу скормить. Где
неудобство?

Во-вторых, как вы себе это представляете? Если сервер не будет
отдавать сертификаты промежуточных CA, то есть два варианта

1. Запихивать все промежуточные сертификаты на клиент. Но тут сразу
возникают проблемы
 * Их много и они будут жрать место на диске, даже если пользователь
ими не разу не воспользуется
 * Самое главное, этот список весьма динамичный, а программное
обеспечение на машинах может не обновляться годами. В результате, если
не обновляться, то очень быстро пользователь не сможет заходить на
свои любимые сайты.

2. В конечные сертификаты помещать ссылку, по которой можно скачать
промежуточные сертификаты, и загружать их во время установки
соединения. Вообще говоря, в большинстве случаев, эта ссылка в
существующих сертификатах уже есть, и ЕМНИП Internet Explorer умеет по
ним ходить и подгружать недостающие звенья, если сервер, вдруг, вернул
не полную цепочку. Но тут есть одна большая проблема - добавляется
одна лишняя точка отказа, то место откуда скачивается сертификат.
Сейчас это сервера CA, и если все ринутся массово оттуда скачивать
сертификаты, то
 * это будет медленно и увеличит время на установление соединения
 * это приведет к удоражанию сертификатов, поскольку CA придется
изыскивать дополнительные деньги на сервера, которые будут отдавать
промежуточные сертификаты
На самом деле, эта же самая проблема уже стоит с отзывом сертификатов,
когда информация о том отозван сертификат или нет получается от
серверов CA. В результате сложилась ситуация, когда проверка на то,
отозван сертификат или нет является в современных браузерах не
обязательной: получится получить информацию - хорошо, нет - ну и фиг с
ним. Это происходит по тому, что
 * У некоторых CA CRL/OCSP сервера не работают вовсе
 * У тех у кого работает, они работают не стабильно и не справляются с нагрузкой
Так что современная тенденция, это перенести обязанность на
возвращение информации об отзыве сертификата на сам сервер - см. OCSP
stapling.

-- 
С уважением,
Владимир.

Подробная информация о списке рассылки Devel