Совсем не редкий. Сравнивал запросы на доступ к Госуслугам от "топовых банков". Мало кто ограничивается паспортом, ИНН/СНИЛС, телефоном и почтой в "обязательных" разрешениях. Большинство же хотят получить информацию практически обо всем профиле - и адреса, и про авто, и про статус самозанятого, и прочее, и прочее... И это не опциональные разрешения, а прямо вот "без них нам свет не мил". Я понимаю что им это интересно, ну так включите список "в необязательные", дайте мне решать чем делится, а чем - нет. Хренушки...
Я не собираюсь Вас в чём-то убеждать, но по архитектуре - ЛЮБОЙ корневой УЦ может так поступить.
Именно поэтому Microsoft, Google, Oracle, Apple (можно еще вспомнить Blackberry) создали и поддерживают программы сертификации корневых УЦ. Попасть в эти программы не просто, зато вылететь "на раз-два".
Любой национальный корневой УЦ может в него попасть, но нужно сильно постараться доказать "что ты не верблюд". Посмотрите - там и китайские, и турецкие, и греческие, и мнгие другие есть. А наш туда не входит. Возможно потому что не захотел или не смог. Или просто вынужден использовать то, что у них заведомо не пройдет аудит.
Я к чему веду - наличие национального корневого УЦ не есть плохо, наоборот это действительно какая-то защита от "внешнего диктата". НО, работы по улучшению прозрачности, сиреч - по повышению доверия, это непрерывный труд на многие года. А этого не видно, к сожалению. Есть административное давление, которое и вызывает недоверие и сопротивление.
Без корневого смысл теряется. А вот то, что всем промежуточным (выдающим сертификаты УЦ), не задают явных ограничений - это очень плохо.
Если посмотреть на сертификаты выпускающих УЦ (от центробанка, налоговой, ФСС и т.п.), то там из CP указаны только классы средств ЭП и плюсом все политики выдачи. И это подтвеждено корневым.
Вот если бы при утверждении корневым УЦ было требование к промежуточным явно указывать политики выдачи с теми или иными ограничениями, то было бы немного лучше.
Но, как мы понимаем, никто не будет заморачиватся с таким, т.к. тут же встает вопрос контроля за исполнением этих политик. Тем более, что все эти органы как-бы в "одном котелке варятся".
То, о чём Вы говорите - это расширение "политики сертификата" (Certificate Policies). Они не задаются на корневом уровне. Их можно (и нужно) указывать на втором уровне иерархии PKI
Как Вы себе это "ограничение по доменам" представляете? Да, PKI связано с DNS, но это не тождественные сущности. Предположим, компания хочет застолбить домены со своей торговой маркой в разных юрисдикциях... Вы предлагаете ей выпускать 100500 сертификатов у такого-же количества УЦ? Или речь о том, что пользователь сам у себя должен контролировать списки доменов, для которых его устраивают сертификаты от конкретного УЦ?
Угу. Сперва проверку действительность паспортов убрали, а потом сильно удивились росту запросов через СМЭВ. Он бы лучше показал "в разрезе по типам или службам" какие запросы так выросли?
А на каком этапе? На переводе денег застройщику? Ок. А дальше как двигать? Все-все этапы дробления этой сумм через ЦР всёравно не получится провести. Если будет место перехода в фиат - там и будет забираться доля "отката"
А ещё бывает что инсталляция с конкретной версией PG "прибита" в каком-то сертификате на соответствие (за негуманные деньги) и проводить процедуру повторно ну очень не хочется.
Ну, не знаю... Например - для ознакомления с продуктом. Может и не каждый, но осилят достаточно многие, об этом не беспокойтесь. Тем более, что не всем нужно "жевать именно корки", достаточно понимания основного функционала. А про продажи... Я не говорю за продажи продукта "вообще", я говорю за продажи бОльшему числу клиентов. На мой субъективный взгляд - дополнительный барьер для доступа к информации о продукте, снижает шансы на его широкое распространении.
Всегда "улыбал" подход, когда даже просто Руководство пользователя можно получить только по запросу. Врядли такие продукты будут интересны "сами по себе", только как доп.сервис для уже имеющихся пользователей. Мне кажется в подходе IBM (с приобретением HashiCorp) скорее проглядывается стремление привлечь большую массу сторонних пользователей (клиентов приобретаемой компании) к своим сервисам. Ибо откусить кусок от "большой тройки" им очень сложно, но вот присоседиться к ним - в самый раз.
Пока видно только фиксацию состояния "до смены лицензии" и дальнейшую эксплуатацию имеющихся наработок. При этом поддержка российских ОС - наверно неплохо, но как-то маловато. Что дальше-то делать будете с этим? Куда двигаться и какими силами? Добавлять поддержку российских криптопримитивов? Пилить еще один форк бэкэнда на замену Consul? Перепишите Terraform (OpenTofu) провайдер для своего форка? Предложите свое облако взамен HCP? Что в перспективе? Или это временное решение в ожидании релизов OpenBao?
Уточню: есть (была?) рекомендация по плановому обновлению ПК в крупных компаниях. Т.к. весь парк менять очень затратно, его делят условно на 3 части. И в бюджет на год закладывают обновление одной из них. Это упрощает планирование расходов и к тому же равномернее размазывает перенос затрат на стоимость их товаров/услуг. Так и возникло это ожидание смены техники каждые 3 года
Совсем не редкий. Сравнивал запросы на доступ к Госуслугам от "топовых банков". Мало кто ограничивается паспортом, ИНН/СНИЛС, телефоном и почтой в "обязательных" разрешениях. Большинство же хотят получить информацию практически обо всем профиле - и адреса, и про авто, и про статус самозанятого, и прочее, и прочее... И это не опциональные разрешения, а прямо вот "без них нам свет не мил". Я понимаю что им это интересно, ну так включите список "в необязательные", дайте мне решать чем делится, а чем - нет. Хренушки...
Хотел бы поправить - ... не более двух уровней SubCA. При три и более сертификат уже не пройдёт валидацию.
Я не собираюсь Вас в чём-то убеждать, но по архитектуре - ЛЮБОЙ корневой УЦ может так поступить.
Именно поэтому Microsoft, Google, Oracle, Apple (можно еще вспомнить Blackberry) создали и поддерживают программы сертификации корневых УЦ. Попасть в эти программы не просто, зато вылететь "на раз-два".
Любой национальный корневой УЦ может в него попасть, но нужно сильно постараться доказать "что ты не верблюд". Посмотрите - там и китайские, и турецкие, и греческие, и мнгие другие есть. А наш туда не входит. Возможно потому что не захотел или не смог. Или просто вынужден использовать то, что у них заведомо не пройдет аудит.
Я к чему веду - наличие национального корневого УЦ не есть плохо, наоборот это действительно какая-то защита от "внешнего диктата". НО, работы по улучшению прозрачности, сиреч - по повышению доверия, это непрерывный труд на многие года. А этого не видно, к сожалению. Есть административное давление, которое и вызывает недоверие и сопротивление.
Без корневого смысл теряется. А вот то, что всем промежуточным (выдающим сертификаты УЦ), не задают явных ограничений - это очень плохо.
Если посмотреть на сертификаты выпускающих УЦ (от центробанка, налоговой, ФСС и т.п.), то там из CP указаны только классы средств ЭП и плюсом все политики выдачи. И это подтвеждено корневым.
Вот если бы при утверждении корневым УЦ было требование к промежуточным явно указывать политики выдачи с теми или иными ограничениями, то было бы немного лучше.
Но, как мы понимаем, никто не будет заморачиватся с таким, т.к. тут же встает вопрос контроля за исполнением этих политик. Тем более, что все эти органы как-бы в "одном котелке варятся".
То, о чём Вы говорите - это расширение "политики сертификата" (Certificate Policies). Они не задаются на корневом уровне. Их можно (и нужно) указывать на втором уровне иерархии PKI
Как Вы себе это "ограничение по доменам" представляете? Да, PKI связано с DNS, но это не тождественные сущности. Предположим, компания хочет застолбить домены со своей торговой маркой в разных юрисдикциях... Вы предлагаете ей выпускать 100500 сертификатов у такого-же количества УЦ? Или речь о том, что пользователь сам у себя должен контролировать списки доменов, для которых его устраивают сертификаты от конкретного УЦ?
Угу. Сперва проверку действительность паспортов убрали, а потом сильно удивились росту запросов через СМЭВ. Он бы лучше показал "в разрезе по типам или службам" какие запросы так выросли?
Не часто встречается владелец двумерного коридора...
На Хабре - можно! :)
Просто по тексту не ясно что будет продолжение. Если уж будете дописывать, то расскажите и о нюансах отличий MLAG и vPC.
"О, как внезапно кончился диван!" (с). Я, по наивности, решил почитать про LACP, MLAG и т.п. Маловато будет для заявленной темы, не находите?
А на каком этапе? На переводе денег застройщику? Ок. А дальше как двигать? Все-все этапы дробления этой сумм через ЦР всёравно не получится провести. Если будет место перехода в фиат - там и будет забираться доля "отката"
А ещё бывает что инсталляция с конкретной версией PG "прибита" в каком-то сертификате на соответствие (за негуманные деньги) и проводить процедуру повторно ну очень не хочется.
При переносе Secret Engines "PKI Certificates", что произойдёт в случае наличия объекта RootCA с неэкспортируемым приватным ключём?
Ну, предположим что это так... Тогда в чём "они" увидели угрозу своей безопасности?
А после слияния с Р-банком они станут ТиР-группой
Да, Вы правы. Но подход CyberArc мне нравится больше.
Ну, не знаю... Например - для ознакомления с продуктом. Может и не каждый, но осилят достаточно многие, об этом не беспокойтесь. Тем более, что не всем нужно "жевать именно корки", достаточно понимания основного функционала. А про продажи... Я не говорю за продажи продукта "вообще", я говорю за продажи бОльшему числу клиентов. На мой субъективный взгляд - дополнительный барьер для доступа к информации о продукте, снижает шансы на его широкое распространении.
Всегда "улыбал" подход, когда даже просто Руководство пользователя можно получить только по запросу. Врядли такие продукты будут интересны "сами по себе", только как доп.сервис для уже имеющихся пользователей. Мне кажется в подходе IBM (с приобретением HashiCorp) скорее проглядывается стремление привлечь большую массу сторонних пользователей (клиентов приобретаемой компании) к своим сервисам. Ибо откусить кусок от "большой тройки" им очень сложно, но вот присоседиться к ним - в самый раз.
Пока видно только фиксацию состояния "до смены лицензии" и дальнейшую эксплуатацию имеющихся наработок. При этом поддержка российских ОС - наверно неплохо, но как-то маловато. Что дальше-то делать будете с этим? Куда двигаться и какими силами? Добавлять поддержку российских криптопримитивов? Пилить еще один форк бэкэнда на замену Consul? Перепишите Terraform (OpenTofu) провайдер для своего форка? Предложите свое облако взамен HCP? Что в перспективе? Или это временное решение в ожидании релизов OpenBao?
Уточню: есть (была?) рекомендация по плановому обновлению ПК в крупных компаниях. Т.к. весь парк менять очень затратно, его делят условно на 3 части. И в бюджет на год закладывают обновление одной из них. Это упрощает планирование расходов и к тому же равномернее размазывает перенос затрат на стоимость их товаров/услуг. Так и возникло это ожидание смены техники каждые 3 года