Эта фраза при описании плюсов и минусов доверенного удостоверяющего центра — то есть подписывает кто-то другой, не вы.
А сам пример не меняется, так как приватный ключ от корневого сертификата для запуска прогаммы не нужен. Ну и дальше, у кого-же этот ключ — у вас или нет.
Здесь crl ни при чем. Имеется ввиду, что если сертификаты подписываешь ты, то ты и контролируешь кто имеет доступ. А если сертификаты подписывет кто-то другой, ты ничего не контролируешь, просто доверяешь. :)
Ну и тем-же списком отозванных заведует тот кто подписывает.
Во всех пользовательских операционных системах исходящие соединения в большинстве случаев фаерволом никак не ограничиваются. А вот слушание порта как раз фаервол и режет, и все прослушивания по умолчанию заблокированы. Так что фаервол все прекрасно разрешает.
То есть, при соединении клиента — 443, 8443 — это внешние порты, а локально будет выбран случайный порт (например больше 50000) из доступных.
В linux порты меньше 1024 специальные, и обычный пользователь не может слушать на них. Поэтому тут порты больше 1024 — менше технической возни.
Плюс, исторически сложилось что порты 80 и 443 для апача/нжинкса, а все остальные, включая яву, всегда были на портах 8080 и 8443.
Пэтому если вы сисадмин, то вы про эти порты знаете уже давно, и проблем с ними не должно возникать.
Зря наверное они избавляются от resourse owner credentionals grant так как это нормальная авторизация для клиентов, где нет браузера.
И почему тогда оставляют client credentionals — там тоже пароль в открытом виде доступен.
ЗЫ В таблицах я бы все-таки не смешивал доступ клиента и овнера — это разного уровня доступы.
Насколько я понимаю, так как есть бэк, то вся обработка там, а фронт это только картинки, ну и соответсвенно между беком и фронтом можно просто воспользоваться обычными сессиями. Поэтому передача на фронт креденшионалов лишена смысла.
Как вы классно натянул развитие философской мысли на религию — все были тупые, а потом появилось христианство и все резко прозрели. Мораль была до христианства, будет и после, и будет эволюционировать. Современный человек читая библию ужасается, описанным там вещам — так как это недопустимо с точки зрения современной морали. И эта эволюция произошла не благодаря религии а благодаря философии.
Нашел на ютубе очень хорошее видео про верования египтян. После просмотра у вас кардинально изменятся взгляды на все что вы знали про религию древнего египта, да и все станет более понятно.
Я думаю к этому просто нужно начинать готовиться — слежка будет и она будет усиливаться, независимо от призывов общественных организаций.
PS: Смутно вспоминаю фантастический рассказ, где нашли минерал, который все записывал. В конце концов его помололи на песок и везде раскидали… Подскажите, как он назывался.
Друг другу подписали сертификаты. То есть Lets Encrypt подписал какому-то центру сертификации их корневой серификат. И тот центр тоже подписал корневой сертификат Lets Encrypt.
Я бы добавил, что поблема не только в сертификатах. Если в усройство можно установить корневой сертификат, то оно может и дальше работать. Другая проблема, что сами алгоритмы шифрования (да и сама система) устаревает. И новые сервера просто откажут клиенту со старыми алгоритмами в поключении.
Например, для соединения использовался протокол SSL, теперь используется TLS.
Ранье использовали хеши SHA-1, теперь минимум SHA-256.
Может слишком заумно написано, простыми словами: корневые сертификаты выпускаются на десятилетия, и у остальных уже они были когда начал распостраняться андроид. Поэтому их сертификаты были в андроиде изначально. А корневой Lets Encrypt появился недавно и его в старых андроидах нет.
Дальнейшие всякие переподписывания это и есть решение одной проблемы — корневой Lets Encrypt появился недавно.
Ну у всех когда-то закончатся коневые сертификаты, хайпа будет тоже много. Вроде, уже один заканчивался — тоже волны всякие были…
А сам пример не меняется, так как приватный ключ от корневого сертификата для запуска прогаммы не нужен. Ну и дальше, у кого-же этот ключ — у вас или нет.
Ну и тем-же списком отозванных заведует тот кто подписывает.
То есть, при соединении клиента — 443, 8443 — это внешние порты, а локально будет выбран случайный порт (например больше 50000) из доступных.
Плюс, исторически сложилось что порты 80 и 443 для апача/нжинкса, а все остальные, включая яву, всегда были на портах 8080 и 8443.
Пэтому если вы сисадмин, то вы про эти порты знаете уже давно, и проблем с ними не должно возникать.
И почему тогда оставляют client credentionals — там тоже пароль в открытом виде доступен.
ЗЫ В таблицах я бы все-таки не смешивал доступ клиента и овнера — это разного уровня доступы.
PS: Смутно вспоминаю фантастический рассказ, где нашли минерал, который все записывал. В конце концов его помололи на песок и везде раскидали… Подскажите, как он назывался.
Например, для соединения использовался протокол SSL, теперь используется TLS.
Ранье использовали хеши SHA-1, теперь минимум SHA-256.
Дальнейшие всякие переподписывания это и есть решение одной проблемы — корневой Lets Encrypt появился недавно.
Ну у всех когда-то закончатся коневые сертификаты, хайпа будет тоже много. Вроде, уже один заканчивался — тоже волны всякие были…