[devel] Взгляд на сертификаты в /usr/share/ca-certificates/ca-bundle.crt и сертификаты УЦ РФ

Vitaly Lipatov lav на etersoft.ru
Ср Авг 2 17:41:40 MSK 2017 

Vladimir Didenko писал 2.8.17 11:32:
> 2 августа 2017 г., 1:57 пользователь Vitaly Lipatov  написал:
>> И всё же: администраторы веб-сервисов вынуждены выкладывать на сайты 
>> также и
>> промежуточные сертификаты,
>> чтобы пользователи (браузеры) могли проверить подлинность сертификата 
>> на
>> сайт.
>> Неужели это так замечательно? А где механизм подгрузки промежуточных
>> сертификатов?
> 
> Во-первых, в чем проблема? При выпуске сертификатов сразу дают нужный
> бандл с промежуточными CA, нужно только серверу скормить. Где
> неудобство?
Проблемы нет, если владелец сервиса способен собрать всю цепочку 
сертификатов, и даже принуждён это сделать. Возможно, что деятели с 
ГОСТ-сертификатами просто не умеют или не считают нужным это делать.

> Во-вторых, как вы себе это представляете? Если сервер не будет
> отдавать сертификаты промежуточных CA, то есть два варианта
> 
> 1. Запихивать все промежуточные сертификаты на клиент. Но тут сразу
> возникают проблемы
>  * Их много и они будут жрать место на диске, даже если пользователь
> ими не разу не воспользуется
Надуманная проблема? Знаете сколько гигабайт библиотек у меня в системе, 
которыми я ни разу не воспользуюсь. Тут не до подсчётов нескольких 
десятков мегабайт.

>  * Самое главное, этот список весьма динамичный, а программное
> обеспечение на машинах может не обновляться годами. В результате, если
> не обновляться, то очень быстро пользователь не сможет заходить на
> свои любимые сайты.
Вы правда считаете, что может быть такая Линукс-система, которая не 
будет обновляться годами, но у неё будет пользователь, заходящий на 
сайты? Мне кажется, она долго не проживёт. В наше время надо либо 
обновляться, либо не заходить на сайты. Как вариант, можно обновлять 
только список сертификатов, это вопрос регламента.

> 
> 2. В конечные сертификаты помещать ссылку, по которой можно скачать
> промежуточные сертификаты, и загружать их во время установки
> соединения. Вообще говоря, в большинстве случаев, эта ссылка в
> существующих сертификатах уже есть, и ЕМНИП Internet Explorer умеет по
> ним ходить и подгружать недостающие звенья, если сервер, вдруг, вернул
Вот мне радость от того, что IE умеет что-то :)

Спасибо за комментарий!


-- 
С уважением,
Виталий Липатов,
Etersoft

Подробная информация о списке рассылки Devel