forum.opennet.ru

Составление сообщения

Исходное сообщение

"Проект Let's Encrypt представил модуль для http-сервера Apac..."
Отправлено пох, 18-Окт-17 13:35

> он имеет смысл только при повсеместном использовании DNSSEC
он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем юзеру not found на попытку запросить подписи. Ну или подпишем, чем мы хуже?
dnssec работает только пока у тебя твой ns - trusted, и ты уверен что корневые подписи не подменены (ибо тоже можно).
У обычного пользователя даже первый пункт отсутствует.
А если начать совать подписи ns в операционные системы (к чему все идет) - мы, скорее всего, быстренько вернемся к торговле воздухом.
Правильное же решение - в выкидывании на помойку истории всех "удостоверяющих центров", и замена их индивидуальным доверием пользователя каждому конкретному сертификату для каждого индивидуального сервера. Который может быть (для дополнительной малоэффективной защиты) подписан кем-то, но совершенно точно не должен меняться раз в неделю, как это заставляет всех делать letsdecrypt.

Исходное сообщение
"Проект Let's Encrypt представил модуль для http-сервера Apac..." Отправлено пох, 18-Окт-17 13:35
> он имеет смысл только при повсеместном использовании DNSSEC он даже при повсеместном не имеет никакого смысла, потому что мы просто вернем юзеру not found на попытку запросить подписи. Ну или подпишем, чем мы хуже? dnssec работает только пока у тебя твой ns - trusted, и ты уверен что корневые подписи не подменены (ибо тоже можно). У обычного пользователя даже первый пункт отсутствует. А если начать совать подписи ns в операционные системы (к чему все идет) - мы, скорее всего, быстренько вернемся к торговле воздухом. Правильное же решение - в выкидывании на помойку истории всех "удостоверяющих центров", и замена их индивидуальным доверием пользователя каждому конкретному сертификату для каждого индивидуального сервера. Который может быть (для дополнительной малоэффективной защиты) подписан кем-то, но совершенно точно не должен меняться раз в неделю, как это заставляет всех делать letsdecrypt.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> он имеет смысл только при повсеместном использовании DNSSEC > он даже при повсеместном не имеет никакого смысла, потому что мы просто > вернем юзеру not found на попытку запросить подписи. Ну или подпишем, > чем мы хуже? > dnssec работает только пока у тебя твой ns - trusted, и ты > уверен что корневые подписи не подменены (ибо тоже можно). > У обычного пользователя даже первый пункт отсутствует. > А если начать совать подписи ns в операционные системы (к чему все > идет) - мы, скорее всего, быстренько вернемся к торговле воздухом. > Правильное же решение - в выкидывании на помойку истории всех "удостоверяющих центров", > и замена их индивидуальным доверием пользователя каждому конкретному сертификату для каждого > индивидуального сервера. Который может быть (для дополнительной малоэффективной защиты) > подписан кем-то, но совершенно точно не должен меняться раз в неделю, > как это заставляет всех делать letsdecrypt.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру