belzoya Jun 18 2020 at 12:07

Введение в TLS для п̶р̶а̶к̶т̶и̶к̶о̶в̶ Патриков (часть 2)

18 min

17K

Plesk corporate blogInformation Security*IT Standards*

+10

Comments 7

amarao Jun 18 2020 at 13:14

И всё это идёт к тому,
1) что ложится Один Сайт и всё остальное ложится вслед за ним. (всякие ocsp-провайдеры, LE валялся и не обновил сертификат)
2) Нельзя взять и создать устройство, способное проработать 20 лет. Потому что к этому времени: все CA, зашитые в устройство сгниют, все сертификаты устройства устареют, его шифроалгоритмы признают негодными и перестанут доверять, его версию TLS признают устаревшей и не будут поддерживать, а уж что с его мамой сделают страшно представить.

edo1h Jul 14 2020 at 04:59

а какие альтернативы? не использовать шифрование? увы, сегодня не особо приемлемо.
а что из текущего шифрования не будет легковзламываемым через 20 лет сложно предугадать, возможно, что вообще ничего.

amarao Jul 14 2020 at 12:25

Использовать trust on first visit модель (как у ssh). Вопрос first trust открыт, но если доверие установлено, дальше сертификат не важен, важен доверенный ключ.

suffix_ixbt Jun 18 2020 at 16:04

OCSP и exim (exim молодец) — конечно молодец, но ещё сторонняя приблуда запускаемая по крону нужна
Из "неохваченных тем" упустили ещё MTA-STS :)
Cпасибо за описание DANE (пусть неподробное, пусть не очень-то хвалебное но может хоть кто-то заинтересуется) — за эту технологию двумя руками !

YourChief Jun 19 2020 at 05:37

Про MTA-STS могу предложить мою статью: habr.com/ru/post/424961

Там и описание, и реализация на Postfix-е в обе стороны (публикация политики и применение политик других доменов).

suffix_ixbt Jun 20 2020 at 09:06

Спасибо — я вашу статью давно уже прочитал — и она всем хороша кроме того что она про прикручивание mta-sts к postfix а не exim :)

YourChief Jun 20 2020 at 11:31

Кто-то из системных администраторов хабра говорил, что знает как и говорили, что возможно напишут статью. Но не помню, кто.