Comments 12
LDAP, Lightweight DAP где первая буква обозначает «легковесный». Те, кому пришлось настраивать, или что хуже производить его отладку могут оценить иронию в полной мере.
Что вы понимаете под "отладкой" и "настройкой" для протокола? Может вы просто пишете LDAP, а подразумеваете что-то другое (ну там, OpenLDAP или AD или FreeIPA — все это очевидно уже не протокол, и для них это все имеет смысл)?
Имеется некий опыт отладки приложений, использующий LDAP аутентификацию. Для пользователей и тех-поддержки это один из самых проблемных аспектов.
На заре протокола предлагали просто сделать СУБД. Но «отцы» настояли на том, что сервис обслуживающий базу данных может как подкосить ту или иную Операционную Систему, так и обогатить компанию, которая эту СУБД будет продавать.
При этом, надо хорошо понимать, на сколько организации устанавливающие стандарты боятся оказаться в позиции лоббиста того или иного предприятия.
Поэтому протокол выпустили без сервиса обслуживающего базу данных ( вообще ). Вот потому он и «light».
У меня каждое второе приложение такое — по той простой причине, что LDAP это например AD, а windows домены — они повсюду. И никогда не видел таких проблем.
Кроме того, вы видимо все же путаете протокол с теми системами, которые его реализуют. Да, AD это штука непростая — но LDAP тут не при чем вообще. Он реально простой.
Если руки дойдут — напишу про это все статью как-нибудь, потому что там тоже, как оказалось, масса подводных граблей и темных углов.
Пробовал несколько лет назад сделать EV для стартапа. Оказалось, что EV у некоторых УЦ получить ничуть не сложнее, чем OV. Отправляешь сканы документов, получаешь два звонка, где убеждаешь индуса на другом конце света, что ты и есть самый что ни есть директор, а рядом с тобой сидит бухгалтер. И через день получаешь EV на контору Рога и копыта. Многие зарубежные УЦ, чьи сертификаты у нас зачастую и продают, не сильно заморачиваются с проверками не-US/EU компаний. И зеленый значок в браузере мало что гарантирует кром того, что за него заплатили много денег
Где хотя бы намек на то, что такое ECC алгоритм, и что такое вообще все эти алгоритмы?
Где разбор хотя бы одного сертификата, чтобы показать, хотя бы на пальцах, что собственно такое этот самый таинственный «открытый ключ», забудем про «закрытый ключ».
И наконец, после виртуозных пассажей с openssl даже намека нет, что это такое и где его найти. Хоть бы сноску дал…
Статья конечно замечательная ( это утаить не удалось ) но учитывая командные высоты, которые сертификаты заняли в защите потоков сети, и некоторые планы на будущее, которые их вознесут ещё выше в скором времени, она к сожалению ( и это наверное невозможно спрашивать, учитывая жанр краткой статьи ) не раскрывает тему.
Жду продолжения!!!
Переход с SHA1 на SHA2
Рекомендации по длине ключа
Также, в контексте проверки как сертификата так и протокола SSL/TLS на конечном endpoint'e на уязвимости можно, к примеру, использовать testssl.sh скрипт.
testssl.sh
Шпоры по сертификатам X.509