Да он имеет в виду, что никто не использует сертификаты с фиксированными DH-ключами.
В сертификат можно зашить не RSA-ключ, а DH-ключ и использовать его вместо генерации каждый раз на сессию.
So nobody really uses Diffie-Hellman in certificates.
имеется в виду:
DH_RSA: the key exchange is a static Diffie-Hellman: the server public key must be a Diffie-Hellman key; moreover, that certificate must have been issued by a Certification Authority which itself was using a RSA key (the CA key is the key which was used to sign the server certificate).
А на практике применяется:
DHE_RSA: the key exchange is an ephemeral Diffie-Hellman: the server dynamically generates a DH public key and sends it to the client; the server also signs what it sends. For DHE_RSA, the server public key must be of type RSA, and its certificate must be appropriate for signatures (the Key Usage extension, if present, must include the digitalSignature flag).
Мне кажется, Вы не совсем внимательно прочитали ответ Томаса.
Там написано что в 99.9% случаях серверный открытый ключ — это RSA-ключ и никто не использует DH-ключи в сертификатах. То есть не используется статический обмен ключами по Диффи-Хеллману (static Diffie-Hellman, DH_RSA), когда DH-ключ хранится в сертификате.
Вместо этого применяется динамический обмен ключами по Диффи-Хеллману (ephemeral Diffie-Hellman, DHE_RSA), как раз и описанный в статье.
Немножко режет слух когда применение формулы S = v * t по базе данных называют громким словосочетанием Data Mining :)
И ведомство посылает своих «экспертов» на «обмен опытом».
Позвольте выразить вам благодарность не только за создание отличного сервиса — стильного, функционального и заполнившего нужную нишу на данном рынке, но и за цикл статей, посвященных особенностям внутренней архитектуры вашего Web-приложения. Стремление не только создавать полезные продукты, но и параллельно делиться опытом, не может не вызывать уважения :)
У меня возник вопрос: вы писали в одном из прошлых постов, что команда состоит из 3 js-разработчиков, одного си-шарпера и одного Objective C-девелопера. Если не секрет, сколько времени потребовалось вам — от идеи до первого прототипа и до официального старта?
Кстати С. Макконнелл, автор книги «Совершенный код», упоминает о теории, согласно которой уровень IQ строго кореллирует с количеством используемых в лексиконе слов.
1. Стоимость перевода — как правило, является чуть ли не основным критерием выбора. Например, facebook (а это более 100 000 слов текста) был переведен на 70 языков. При стоимости перевода, скажем, $0.10 за слово (возьмем стоимость чуть ниже средней по отрасли), это бы обошлось ему в 7 миллионов долларов.
100 000 * 70 * $0.1 = $700 000
Всего 700K, а не 7М!
В сертификат можно зашить не RSA-ключ, а DH-ключ и использовать его вместо генерации каждый раз на сессию.
Вот другой пост об этом:
security.stackexchange.com/questions/12052/confusing-about-ephemeral-diffie-hellman
А на практике применяется:
Обратите внимание на последнюю строчку в посте:
Там написано что в 99.9% случаях серверный открытый ключ — это RSA-ключ и никто не использует DH-ключи в сертификатах. То есть не используется статический обмен ключами по Диффи-Хеллману (static Diffie-Hellman, DH_RSA), когда DH-ключ хранится в сертификате.
Вместо этого применяется динамический обмен ключами по Диффи-Хеллману (ephemeral Diffie-Hellman, DHE_RSA), как раз и описанный в статье.
И ведомство посылает своих «экспертов» на «обмен опытом».
У меня возник вопрос: вы писали в одном из прошлых постов, что команда состоит из 3 js-разработчиков, одного си-шарпера и одного Objective C-девелопера. Если не секрет, сколько времени потребовалось вам — от идеи до первого прототипа и до официального старта?
100 000 * 70 * $0.1 = $700 000
Всего 700K, а не 7М!