[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Konstantin Lepikhov]

Hi Vladimir!

On 08/02/17, at 11:32:01 AM you wrote:

<skip>
>  * У некоторых CA CRL/OCSP сервера не работают вовсе
>  * У тех у кого работает, они работают не стабильно и не справляются с нагрузкой
Вы так пишете, будто это прям везде и повмеместно. На самом деле это
происходит с вашим CA, то лучше сменить этот CA на что-то другое,
поскольку недоступность веб-ресурсов это проблема организации
инфраструктуры раздачи контента а не PKI.

> Так что современная тенденция, это перенести обязанность на
> возвращение информации об отзыве сертификата на сам сервер - см. OCSP
> stapling.
Это один из вариантов использования OCSP stapling, на самом деле он создан
совсем для другого - чтобы защититься от MITM атак.

-- 
WBR et al.