[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Vladimir Didenko
vladimir.didenko на gmail.com
Ср Авг 2 12:24:18 MSK 2017
2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал:
> Вы так пишете, будто это прям везде и повмеместно.
Насколько я знаю, везде и повсеместно. Были добровольцы (читал в
багзилле Mozilla), которые принудительно включали обязательную
проверку revocation статуса - жить с этим не возможно.
>> Так что современная тенденция, это перенести обязанность на
>> возвращение информации об отзыве сертификата на сам сервер - см. OCSP
>> stapling.
> Это один из вариантов использования OCSP stapling, на самом деле он создан
> совсем для другого - чтобы защититься от MITM атак.
>
Я не понял суть замечания. OCSP stapling был создан для того, чтобы
информацию об отзыве сертификата возвращал непосредственно сам TLS
сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому,
что информация об отзыве нужна для предотвращения MITM.
--
С уважением,
Владимир.
Подробная информация о списке рассылки Devel