При всем уважении, похоже на изобретенный заново велосипед, причем с не совсем круглыми колесами.
Проблема доступа к приватным SSH ключам на потерянном ноутбуке закрывается шифрованием диска (неужели кто-то этого до сих пор не делает?).
Отзыв доступов покинувших компанию сотрудников решается через централизованную систему AAA, например, FreeIPA.
Хотя, в вашем случае, когда много разных проектов и клиентов, которые не захотят подключаться в ваш Kerberos-домен, может и имеет право на жизнь.
Интересно, что бы сказали про эту штуку аудиторы по всяким стандартам безопасности.
«здравствуйте! Если у вас есть подозрения на несанкционированный доступ в личный кабинет, то обязательно сообщите об этом в личные сообщения группы, указав номер лицевого счета и ФИО владельца договора. Наша компания также предлагает воспользоваться антивирусами на выгодных условиях: 30 дней можно пользоваться услугой без абонентской платы. В дальнейшем проходит пролонгация и стоимость будет зависеть от выбранного вами антивируса.
Защитная программа дает возможность:
— Защиты от всех видов интернет-угроз, атак, спама, фишинга.
— Защита от утечек конфиденциальной информации.
— Автоматическое обновление баз.
— Постоянный сетевой контроль.»
(если что, я не имею никакого отношения к ним, просто пофанился)
Вы правы, спасибо за дополнение. Я просто не остановился на этом моменте, чтобы не усложнять, и, поскольку речь шла о файлах на клиентской стороне, описал только привычную картину: клиент подключается к серверу, поэтому очевидно, что сервер должен проверить, «честный» ли это клиент (аналогично аутентификации по PSK). Но также и клиент должен убедиться, что сервер принадлежит его PKI — сертификат сервера подписан тем же СА, что и его собственный.
Обратимся к документации (с вашего позволения, я переведу):
И сервер, и клиент аутентифицируют друг друга, сначала проверяя, что предоставленные ими сертификаты были подписаны главным удостоверяющим центром, и только потом проверяя остальную информацию из сертификатов, такую как CN и тип сертификата (клиент или сервер).
То, что вы называете фактическими ошибками, вы называете справедливо. Но статья предназначается для сильно начинающих. Такие утрирования я ввел намеренно, чтобы упростить понимание — думаю, вы согласитесь, что лучше примера с SSH сложно что-то придумать. Если человек всерьез озаботится изучением материала (на что, надеюсь, кого-то может сподвигнуть эта статья, а может быть и ваши комментарии), он и без меня поймет разницу. А если не озаботится, ему не будет большой разницы в таких нюансах, но, надеюсь, будет хотя бы видимость big picture. В любом случае я не считаю, что после прочтения такого «некомпетентного рассказа» с кучей «фактических ошибок» мир для потенциального читателя перестанет быть прежним.
1. Чем сертификат от Let's Encrypt хуже платного?
Заметим, чот я не говорил, что сертификаты от Let's Encrypt какие-то «бракованные» (пунктом ниже я пишу, что шифровать трафик можно и самоподписанным сертификатом). Я лишь написал, что лично я бы хорошо подумал. Поэтому отвечаю на ваш вопрос со своей точки зрения, почему их сертификаты могли бы не подойти лично мне. Итак:
Let's Encrypt предоставляют сертификаты только с базовой степенью верификации владельца (Domain Validation).
Let's Encrypt не сделают меня своим доверенным CA, чтобы браузеры доверяли моему CA так же, как их.
Let's Encrypt не предоставляют Code Signing сертификаты.
2. Что вы хотите сказать фразой «о PKI как таковой речи быть не может»?
Речь идет о «тех ребятах, которые договорились». Как можно назвать инфраструктурой множество сущностей (я про ОС, браузеры, почтовые клиенты и пр.), которые по своему разумению могут доверять или не доверять разным CA (добавлять или удалять соответствующие сертификаты)? В лучшем случае это некий mesh из разных PKI в рамках каждого CA. Солидные дяди называют это «global SSL ecosystem».
Сталкивался неоднократно. Но это выходит за рамки того, о чем говорится в статье. Понимаю, это основа основ PKI, но объяснить это начинающему довольно сложно.
За критику спасибо, буду стараться :)
Позвольте, я не буду отвечать на ваши вопросы. Почему? Перечитайте еще раз название статьи и постскриптум.
Тем не менее спасибо за обоснованную и справедливую критику. Ваше мнение очень важно для нас :)
Пример с SSH я привел как грубую аналогию и чтобы не вдаваться в подробности (см. название статьи). Вы, конечно, правы. Спасибо за уточнение — изучающим тему оно будет полезно.
Проблема доступа к приватным SSH ключам на потерянном ноутбуке закрывается шифрованием диска (неужели кто-то этого до сих пор не делает?).
Отзыв доступов покинувших компанию сотрудников решается через централизованную систему AAA, например, FreeIPA.
Хотя, в вашем случае, когда много разных проектов и клиентов, которые не захотят подключаться в ваш Kerberos-домен, может и имеет право на жизнь.
Интересно, что бы сказали про эту штуку аудиторы по всяким стандартам безопасности.
«здравствуйте! Если у вас есть подозрения на несанкционированный доступ в личный кабинет, то обязательно сообщите об этом в личные сообщения группы, указав номер лицевого счета и ФИО владельца договора. Наша компания также предлагает воспользоваться антивирусами на выгодных условиях: 30 дней можно пользоваться услугой без абонентской платы. В дальнейшем проходит пролонгация и стоимость будет зависеть от выбранного вами антивируса.
Защитная программа дает возможность:
— Защиты от всех видов интернет-угроз, атак, спама, фишинга.
— Защита от утечек конфиденциальной информации.
— Автоматическое обновление баз.
— Постоянный сетевой контроль.»
(если что, я не имею никакого отношения к ним, просто пофанился)
Обратимся к документации (с вашего позволения, я переведу):
Заметим, чот я не говорил, что сертификаты от Let's Encrypt какие-то «бракованные» (пунктом ниже я пишу, что шифровать трафик можно и самоподписанным сертификатом). Я лишь написал, что лично я бы хорошо подумал. Поэтому отвечаю на ваш вопрос со своей точки зрения, почему их сертификаты могли бы не подойти лично мне. Итак:
Речь идет о «тех ребятах, которые договорились». Как можно назвать инфраструктурой множество сущностей (я про ОС, браузеры, почтовые клиенты и пр.), которые по своему разумению могут доверять или не доверять разным CA (добавлять или удалять соответствующие сертификаты)? В лучшем случае это некий mesh из разных PKI в рамках каждого CA. Солидные дяди называют это «global SSL ecosystem».
За критику спасибо, буду стараться :)
Тем не менее спасибо за обоснованную и справедливую критику. Ваше мнение очень важно для нас :)