[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

[Vladimir Didenko]

2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал:

> Вы так пишете, будто это прям везде и повмеместно.

Насколько я знаю, везде и повсеместно. Были добровольцы (читал в
багзилле Mozilla), которые принудительно включали обязательную
проверку revocation статуса - жить с этим не возможно.

>> Так что современная тенденция, это перенести обязанность на
>> возвращение информации об отзыве сертификата на сам сервер - см. OCSP
>> stapling.
> Это один из вариантов использования OCSP stapling, на самом деле он создан
> совсем для другого - чтобы защититься от MITM атак.
>

Я не понял суть замечания. OCSP stapling был создан для того, чтобы
информацию об отзыве сертификата возвращал непосредственно сам TLS
сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому,
что информация об отзыве нужна для предотвращения MITM.

-- 
С уважением,
Владимир.