Comments 7
И всё это идёт к тому,
1) что ложится Один Сайт и всё остальное ложится вслед за ним. (всякие ocsp-провайдеры, LE валялся и не обновил сертификат)
2) Нельзя взять и создать устройство, способное проработать 20 лет. Потому что к этому времени: все CA, зашитые в устройство сгниют, все сертификаты устройства устареют, его шифроалгоритмы признают негодными и перестанут доверять, его версию TLS признают устаревшей и не будут поддерживать, а уж что с его мамой сделают страшно представить.
а какие альтернативы? не использовать шифрование? увы, сегодня не особо приемлемо.
а что из текущего шифрования не будет легковзламываемым через 20 лет сложно предугадать, возможно, что вообще ничего.
OCSP и exim (exim молодец) — конечно молодец, но ещё сторонняя приблуда запускаемая по крону нужна
Из "неохваченных тем" упустили ещё MTA-STS :)
Cпасибо за описание DANE (пусть неподробное, пусть не очень-то хвалебное но может хоть кто-то заинтересуется) — за эту технологию двумя руками !
Там и описание, и реализация на Postfix-е в обе стороны (публикация политики и применение политик других доменов).
Введение в TLS для п̶р̶а̶к̶т̶и̶к̶о̶в̶ Патриков (часть 2)