Простой вопрос о сертификатах и доменных именах

У меня вопрос попроще. А есть ли в системе список отозванных сертификатов и как он обновляется?

В дефолтном Firefox есть сам список, но он пустой. Проблема, опять же решилась бы использованием OCSP-сервисов хотя бы для известных CA. Вообще чем больше думаю об этом, тем больше https мне кажется откровенной фикцией...

тем больше https мне кажется откровенной фикцией...

Скорее, SSL и сертификаты :).

Я бы предложил отказаться от глобальных сертификационных центров и хранить сертификаты в днс-записях. Но, блин, тогда возникает проблема как проверить подлинность днс-ответа.

Наверно, надо придумать механизм чтобы было как бы несколько сертификатов от разных центров. И для надёжной аутентификации нужно чтобы все они были валидными. Но это тоже не очень хорошо.

Каким образом и в какие сроки сертификаты должны быть отозваны, т.е. каков механизм связи между доменными регистраторами и «правыми» Certificate Authority, насколько он латентен по времени реакции?

Имхо никакого механизма нет, если Вася Пупкин посчитает нужным, то напишет регистратору и тот отзовет сертификат.

Плюс к этому Вася Пупкин с потерей домена не теряет контроля над сертификатом, если он не передаст секретный ключ от сертификата новому владельцу

короче особого смысла отзывать сертификат в такой ситуации нет

На 10 лет тебе никто сертификат не выпишет, выдают на два вроде максимум. Я недавно вайлдкард выписывал *.domain.ru на два года, тысяч в 35 вроде вышло, совсем не дешего :) Если домен отберут в течении этих двух лет, то ничего особо не поделаешь я думаю. CRL, как уже писали, в браузерах особо нет, так что можно мутить man-in-the-middle :)

так что можно мутить man-in-the-middle :)

т.е. прежний владелец домена устраивает man-in-the-middle новому владельцу?

Угу :) Сценарий маловероятный, но теоретически возможный.

На 10 лет тебе никто сертификат не выпишет, выдают на два вроде максимум. Я недавно вайлдкард выписывал *.domain.ru на два года, тысяч в 35 вроде вышло, совсем не дешего

Вообще не понимаю людей которые платят такие деньги фактически за воздух. Если уж и брать, то гораздо дешевле, например http://rus.gogetssl.com/domain-validation/comodo-positive-ssl-wildcard/ и подобных предложений море. Да и дают на 5 лет. Хотя, если фирма деньги не считает и всем пофигу, то можно и по 500 баксов в год платить.

128 bit

Фууу :)

Это где «фууу» нашлось такое? Здесь чтоли - «Comodo PositiveSSL Wildcard сертификат отличный 256-битовый продукт со сроком выдачи всего 3-4 минуты.» ?

Кстати прикольно, тот же https://www.reg.ru/ssl-certificate/Comodo/ барыжит те же Комодовские сертификаты по 8460 р. в год, вот уж действительно бизнес по-русски - мега наценка на воздух =))

Плюс к этому Вася Пупкин с потерей домена не теряет контроля над сертификатом, если он не передаст секретный ключ от сертификата новому владельцу

Мило. Достаточно получить доступ (или изначально его иметь?) к DNS-серверу провайдера уровня «пять квартир на этаже» - и вместо IP банка хомячкам будет выдаваться IP сайта Васи Пупкина. При этом https на этот сайт бует превосходно работать по той простой причине, что у Васи есть совершенно валидный сертификат. Гениально!

ну так не надо делать интернет-банк на доменах, отобранных у Васи Пупкина

Я бы предложил отказаться от глобальных сертификационных центров и хранить сертификаты в днс-записях

Однго другое не исключает же. Есть глобальный центр, к нему, например, относится весь *.ru Есть некая конторка lomotory.ru, у которой собственный CA, сертификат коего подписан глобальным центром *.ru, может выдавать сертификаты только на *.lomotory.ru и на lomotory.ru Как только срок действия сертификата CA lomotor'ов истекает или же этот сертификат отзывается, попадая в обзедоступные OCSP-перечни, все выданные им сертификаты считаются недействительными.
Косяк существующей системы в том, что имена, используемые глобальной распределённой системой сертификации и те же самые имена, фигурирующие в глобальной распределённой системе доменных имён - это сейчас вообще разные имена по сути. Причём не факт, что современная бардачная система сертификации исключает выдачу 100500 совершенно валидных сертификатов на одно и то же доменное имя!

сертификат коего подписан глобальным центром *.ru, может выдавать сертификаты только на *.lomotory.ru и на lomotory.ru

стандарт X.509 такого не предполагает, тот, кто подписывает сертификат, может писать в CN всё что угодно, механизмов, ограничивающих это со стороны центра сертификации, нету.

Безусловно, сейчас такого механизма нет, для нижележащего центра сертификации невозможно ограничить множество CN, для которых он выддаст сертификаты. Но вышестоящий центр может вести простые общедоступные списки вида:
«DN нижестоящего CA» - scope1,scope2,scopeN

Ну я брал у ник.ру т.к. с ними уже имеется договор, поэтому мне проще было, а для фирмы 35т.р. не деньги.

А у комодо я боюсь если брать на 5 лет, то раз в год-два надо будет всё равно перевыпускать, хотя могу ошибаться.

блин, тогда возникает проблема как проверить подлинность днс-ответа.

DNSSEC? :-)

Причём не факт, что современная бардачная система сертификации исключает выдачу 100500 совершенно валидных сертификатов на одно и то же доменное имя!

Всё верно - не факт. Вы можете сделать сертификат на один и тот же CN в разных конторах и всё будет работать.

DNSSEC? :-)

dnssec это тот же самый public key cryptography и те же проблемы что и у https/ssl.