forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект Let's Encrypt опубликовал планы на 2018 год"
Отправлено Аноним, 12-Дек-17 05:39

Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" *владелец сертификата* должен сообщить об этом CA.
Т.е. использование OCSP позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию).
Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде.
А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть *валидный* сертификат.
И OCSP при этом поможет как мёртвому припарка.
Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.

Исходное сообщение
"Проект Let's Encrypt опубликовал планы на 2018 год" Отправлено Аноним, 12-Дек-17 05:39
Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" владелец сертификата должен сообщить об этом CA. Т.е. использование OCSP позволит клиенту узнать о проблеме только если о ней и так известно основным заинтересованным лицам (а не заинтересованный в чёрном пиаре админ просто забьёт на ревокацию). Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет DNS", то владельцу сайта нужно делать публичное заявление о взломе, а пользователю – искать политического убежища где-нибудь в Уганде. А то ведь такой злоумышленник может и от управления сертификатом отлучит (и продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge CA). И через DNS перенаправить пользователя на свой сервак, для которого у него есть валидный сертификат. И OCSP при этом поможет как мёртвому припарка. Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить про взлом и исправить причины. А OCSP — удобное оправдание для не желающих это делать, не более.

Ваше сообщение

Имя*:

EMail:

Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email).
Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.

Заголовок*:

Сообщение*:

> Ещё раз – чтобы OCSP-ответ сообщил пользователю, что "дело швах" *владелец сертификата* 
> должен сообщить об этом CA.

> Т.е. использование OCSP  позволит клиенту узнать о проблеме только если о 
> ней и так известно основным заинтересованным лицам (а не заинтересованный в 
> чёрном пиаре админ просто забьёт на ревокацию).

> Если о проблеме известно, а злоумышленник вволю "подсасывается к апстриму" и "отравляет 
> DNS", то владельцу сайта нужно делать публичное заявление о взломе, а 
> пользователю – искать политического убежища где-нибудь в Уганде.

> А то ведь такой злоумышленник может и от управления сертификатом отлучит (и 
> продолжать "подсосавшись к апстриму" получать новые сертификаты через HTTP -challenge 
> CA). И через DNS перенаправить пользователя на свой сервак, для которого 
> у него есть *валидный* сертификат.

> И OCSP при этом поможет как мёртвому припарка.

> Если ваш сайт интересен таким злоумышленникам, самый надёжный способ — раструбить 
> про взлом и исправить причины. А OCSP — удобное оправдание для 
> не желающих это делать, не более.

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру