[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ
Konstantin Lepikhov
lakostis на altlinux.org
Ср Авг 2 13:21:53 MSK 2017
Hi Vladimir!
On 08/02/17, at 12:24:18 PM you wrote:
> 2 августа 2017 г., 12:13 пользователь Konstantin Lepikhov написал:
>
> > Вы так пишете, будто это прям везде и повмеместно.
>
> Насколько я знаю, везде и повсеместно. Были добровольцы (читал в
> багзилле Mozilla), которые принудительно включали обязательную
> проверку revocation статуса - жить с этим не возможно.
У меня она включена везде, проблемы замечал только если пользуешься
каким-нибудь кривым прокси, который режет запросы или пытается засунуть
свой сертификат в сессию.
> > Это один из вариантов использования OCSP stapling, на самом деле он создан
> > совсем для другого - чтобы защититься от MITM атак.
> >
>
> Я не понял суть замечания. OCSP stapling был создан для того, чтобы
> информацию об отзыве сертификата возвращал непосредственно сам TLS
> сервер, а не сервер CA. Это то, что я написал. Это ортогонально тому,
> что информация об отзыве нужна для предотвращения MITM.
Окей, это один из вариантов использования:
> While it may appear that allowing the site operator to control
> verification responses would allow a fraudulent site to issue false
> verification for a revoked certificate, the stapled responses can't be
> forged as they need to be directly signed by the certificate authority,
> not the server.
https://en.wikipedia.org/wiki/OCSP_stapling#cite_note-Gibson-OCSP-Must-Staple-3
--
WBR et al.
Подробная информация о списке рассылки Devel