Комментарии 13
Пардон, а где здесь блокчейн используется и как?
(вздыхает) Для использования клиентских сертификатов блокчейн необязателен. Я вот много лет пользуюсь — удобно, практично, эффективно.
При этом я прекрасно сам себе генерю клиентский сертификат, а также его отзываю в случае необходимости. Делов-то — на том же self-signed сертификате сгенерить что и серверу генерили. И отзывается так же легко — занесением в CRL.
Собственно вот наглядно.
А если надо со всей мутью от УЦ — то какой-нибудь StartSSL (жаль конкретно этот испортился после покупки китайцами) прекрасно выдает бесплатные клиентские сертификаты. И с отзывом проблем нет (правда тут-то денег и просят, хех).
А теперь то же самое но с блокчейном!!! Ну ок. А что поменялось?
Кстати, емеркойн — где-то я это уже слышал. Это не те самые которые потом по блокчейну транзакции откатывали после известного фрода? ;-)
При этом я прекрасно сам себе генерю клиентский сертификат, а также его отзываю в случае необходимости. Делов-то — на том же self-signed сертификате сгенерить что и серверу генерили. И отзывается так же легко — занесением в CRL.
Собственно вот наглядно.
А если надо со всей мутью от УЦ — то какой-нибудь StartSSL (жаль конкретно этот испортился после покупки китайцами) прекрасно выдает бесплатные клиентские сертификаты. И с отзывом проблем нет (правда тут-то денег и просят, хех).
А теперь то же самое но с блокчейном!!! Ну ок. А что поменялось?
Кстати, емеркойн — где-то я это уже слышал. Это не те самые которые потом по блокчейну транзакции откатывали после известного фрода? ;-)
Как было указано выше, система клиентских SSL-сертификатов решает проблему полного раскрытия секрета (a). Однако по ряду причин, включая приведённые выше, она не слишком хорошо масштабируется, и широкого распространения не получила.
В системе emcSSL отсутствует центр сертификации, а выпуском сертификатов занимаются сами пользователи...
И после этого полностью рассказано о всех достоинствам, к примеру, давным давно существующей авторизации на SSH через сертификаты.
Чего такого принципиального нет в SSL,
что такое принципиальное есть в emcSSL?
Чего такого принципиального нет в SSL, что такое принципиальное есть в emcSSL?
В emcSSL главный секрет – приватный ключ CA, который является открытой информацией, поэтому компрометация CA невозможна. Валидация сертификата осуществляется не через подпись от CA, а через хеш в блокчейне.
Также, в материале написано:
Сначала советуем ознакомиться с детальной статьёй, в которой вы найдете самые основы.
Там детально освещена работа.
В наше время CA хотят государства стать.
;)
Например, в Казахстане требуют установки ключа, подписанного кем-то там на уровне магистрального провайдера, без него дают отлуп от https
То есть проблема больше политическая.
Трудно представить, где была бы столь серьезно востребована технология.
Не, я понял, что это полезно.
Но в условиях, когда бабло миллионами гребут CA…
;)
Например, в Казахстане требуют установки ключа, подписанного кем-то там на уровне магистрального провайдера, без него дают отлуп от https
То есть проблема больше политическая.
Трудно представить, где была бы столь серьезно востребована технология.
Не, я понял, что это полезно.
Но в условиях, когда бабло миллионами гребут CA…
> В emcSSL главный секрет – приватный ключ CA, который является открытой информацией
приватный ключ… является открытой информацией.
Простите, что?
приватный ключ… является открытой информацией.
Простите, что?
Именно так, ничего не напутано!
Приватный ключ является открытой информацией.
В системе emcSSL – CA фиктивен, оставлен только для совместимости системы с остальной инфраструктурой SSL. То есть от имени этого фиктивного CA кто угодно может сгенерировать сертификат с любыми атрибутами.
Только вот блокчейн не позволит злоумышленнику успешно пользоваться сертификатом-дубликатом с тем же Serial.
В этом и есть ключевое отличие децентрализованной одноранговой системы emcSSL от классической древовидной структуры классических SSL-сертификатов с «подписями сверху».
Приватный ключ является открытой информацией.
В системе emcSSL – CA фиктивен, оставлен только для совместимости системы с остальной инфраструктурой SSL. То есть от имени этого фиктивного CA кто угодно может сгенерировать сертификат с любыми атрибутами.
Только вот блокчейн не позволит злоумышленнику успешно пользоваться сертификатом-дубликатом с тем же Serial.
В этом и есть ключевое отличие децентрализованной одноранговой системы emcSSL от классической древовидной структуры классических SSL-сертификатов с «подписями сверху».
Представьте себе что под домен третьего уровня нужен сертификат — сроком «нуу на пару недель наверное, но может и дольше, это потестить».
Wildcards уже в пролете — ведь все сертификаты доступны, достал из блокчейна сертификат микрософта *.live.com, сунул своему апачу — профит. Нет, не сунул? Не взлетит? А почему? Классический же SSL никуда не делся?
Окей, у меня на проекте допустим кластеры prod, stage, qa, dev, testing, и в каждом гора хостов с автоскейлингом. Чтобы https у всех был мне сколько надо сертификатов нагенерить в блокчейне? Нагрузка возросла, амазон еще пять инстансов стартанул, что там с сертификатами? А сервера у меня в DMZ и без коннектов куда попало, дальше что делаем?
И это я про https, а сертификаты применяются и в подписях драйверов для винды, хех…
Wildcards уже в пролете — ведь все сертификаты доступны, достал из блокчейна сертификат микрософта *.live.com, сунул своему апачу — профит. Нет, не сунул? Не взлетит? А почему? Классический же SSL никуда не делся?
Окей, у меня на проекте допустим кластеры prod, stage, qa, dev, testing, и в каждом гора хостов с автоскейлингом. Чтобы https у всех был мне сколько надо сертификатов нагенерить в блокчейне? Нагрузка возросла, амазон еще пять инстансов стартанул, что там с сертификатами? А сервера у меня в DMZ и без коннектов куда попало, дальше что делаем?
И это я про https, а сертификаты применяются и в подписях драйверов для винды, хех…
Обратите внимание на то, что в статье речь идёт о клиентских сертификатах, а ваш комментарий касается серверных (которые выкладываются на сервер):
Поэтому этот материал решили посвятить ответам на них на примере emcSSL – системы идентификации пользователей WWW на основе подсистемы NVS криптовалюты EmerCoin и децентрализованных клиентских SSL-сертификатов.
Поэтому этот материал решили посвятить ответам на них на примере emcSSL – системы идентификации пользователей WWW на основе подсистемы NVS криптовалюты EmerCoin и децентрализованных клиентских SSL-сертификатов.
1.
2. И фронт борьбы за приватность переносится на плечи самого пользователя (защита его конечного устройства) что вызывает большее уныние нежели защита более менее крупных ресурсов
а в целом все красиво )
После совершения покупки, сервер «забывает» содержимое инфокарты – до следующего логина пользователя.ничто не мешает и думаю так и будет что магазины будут забывать «забывать».
2. И фронт борьбы за приватность переносится на плечи самого пользователя (защита его конечного устройства) что вызывает большее уныние нежели защита более менее крупных ресурсов
а в целом все красиво )
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Погружение в технологию блокчейн: Децентрализованная беспарольная система безопасности