belzoya May 19 2020 at 11:33

Введение в TLS для п̶р̶а̶к̶т̶и̶к̶о̶в̶ Патриков (часть 1)

11 min

27K

Plesk corporate blogIT Standards*Information Security*

+27

Comments 10

suffix_ixbt May 19 2020 at 12:05

Я надеюсь что Сэнди таки объяснит Патрику что совершенно необязательно валидировать сертификат через жадного мистера Крабса к которому нет особого доверия а необходимо и достаточно TLSA DANE под DNSSEC !

stargrave2 May 19 2020 at 12:29

В этом случае жадный мистер Крабс будет отвечать за валидацию DNSSEC. Причём с ещё меньшим выбором CA. Только DNSCurve нам поможет (+DANE под ним).

suffix_ixbt May 19 2020 at 12:48

stargrave2

Причём с ещё меньшим выбором CA.

ИМХО доверие к какому-нибудь DigiCert таки меньше чем к ICANN

stargrave2 May 19 2020 at 13:01

Лично по мне — одна фигня. Им недоверяю одинаково. Причём централизованной штуке я бы априори меньше доверял, ибо лакомый кусочек для контроля и атак.

suffix_ixbt May 19 2020 at 13:09

Так нет выбора-то.

DNSCurve за 10 лет так и не взлетело причём совсем не взлетело.

А TLSA DANE под DNSSEC хоть что-то но поддерживает из клиентов (понятно что не браузеров, но вот exim поддерживает — уже хоть что-то).

UFO landed and left these words here

goodvin1709 May 20 2020 at 00:34

Спасибо большое за статью, хотелось бы детальнее посмотреть в следующей статье на сам процесс проверки сертификатов, разных типов(X509,...) и как эффективно делать валидацию сертификата от губки Боба :)

belzoya May 20 2020 at 12:22

рады, что понравилось, stay tuned :)

hugeous May 23 2020 at 15:52

Спасибо за статью, очень понравилось :)
Жду вторую ~~серию~~ часть.

belzoya Jun 18 2020 at 14:52

Вторая серия :) habr.com/ru/company/plesk/blog/507094