История изменений
Исправление faq2, (текущая версия) :
что значит корректные? ПОкупные? или самоподписные?
Это значит те, которые подписаны секретным ключом который достаточно трудно стырить злоумышленнику :) А так же те, секретный ключ от которых тоже достаточно сложно стырить злоумышленнику. Но я думаю тебя сугубо прикладные цели интересуют, поэтому рекомендую использовать сертификат подписанный надёжным издателем (есть бесплатные штуки типа let’s encrypt, но там придётся немного поплясать с автоматизацией).
это как то должно настраиваться в nginx?
В сертификате прописываются адреса где нужно читать списки отозванных сертификатов(CRL) и адреса серверов статуса сертификатов работающих по протоколу OCSP. По любому TLS решению всегда можно погуглить какие из этих технологий оно поддерживает и в каком объёме.
сервер надеюсь не должны взломать, за клиентов поручиться невозможно в моем случае
Это вопрос модели безопасности. Если в твоей модели безопасности, утечка данных взломанного клиента это Ок, то и пофик.
Тут ведь как - вопрос какого уровня гарантии ты хочешь дать. Насколько я знаю, есть модели безопасности в которых решение продолжает обеспечивать сохранность критичных данных в условиях скомпрометированной ОС и скомпрометированного ПО. Ключевая оговорка тут всегда - на протяжении какого времени. Например для расшифровки AES трафика тоже ведь есть время и требования по оборудованию, просто эти сотни тысяч лет - выглядят вполне приемлемо для бизнеса :)
Исправление faq2, :
что значит корректные? ПОкупные? или самоподписные?
Это значит те, которые подписаны секретным ключом который достаточно трудно стырить злоумышленнику :) Но я думаю тебя сугубо прикладные цели интересуют, поэтому рекомендую использовать сертификат подписанный надёжным издателем (есть бесплатные штуки типа let’s encrypt, но там придётся немного поплясать с автоматизацией).
это как то должно настраиваться в nginx?
В сертификате прописываются адреса где нужно читать списки отозванных сертификатов(CRL) и адреса серверов статуса сертификатов работающих по протоколу OCSP. По любому TLS решению всегда можно погуглить какие из этих технологий оно поддерживает и в каком объёме.
сервер надеюсь не должны взломать, за клиентов поручиться невозможно в моем случае
Это вопрос модели безопасности. Если в твоей модели безопасности, утечка данных взломанного клиента это Ок, то и пофик.
Тут ведь как - вопрос какого уровня гарантии ты хочешь дать. Насколько я знаю, есть модели безопасности в которых решение продолжает обеспечивать сохранность критичных данных в условиях скомпрометированной ОС и скомпрометированного ПО. Ключевая оговорка тут всегда - на протяжении какого времени. Например для расшифровки AES трафика тоже ведь есть время и требования по оборудованию, просто эти сотни тысяч лет - выглядят вполне приемлемо для бизнеса :)
Исходная версия faq2, :
что значит корректные? ПОкупные? или самоподписные?
Это значит те, которые подписаны секретным ключом который достаточно трудно стырить злоумышленнику :) Но я думаю тебя сугубо прикладные цели интересуют, поэтому рекомендую использовать сертификат подписанный надёжным издателем (есть бесплатные штуки типа let’s encrypt, но там придётся немного поплясать с автоматизацией).
это как то должно настраиваться в nginx?
В сертификате прописываются адреса где нужно читать списки отозванных сертификатов(CRL) и адреса серверов статуса сертификатов работающих по протоколу OCSP. По любому TLS решению всегда можно погуглить какие из этих технологий оно поддерживает и в каком объёме.
сервер надеюсь не должны взломать, за клиентов поручиться невозможно в моем случае
Это вопрос модели безопасности. Если в твоей модели безопасности, утечка данных взломанного клиента это Ок, то и пофик.
Тут ведь как - вопрос какого уровня гарантии ты хочешь дать. Насколько я знаю, есть модели безопасности в которых решение продолжает обеспечивать сохранность критичных данных в условиях скомпрометированной ОС и скомпрометированного ПО. Ключевая оговорка тут всегда - на протяжении какого времени. Например для расшифровки AES трафика тоже ведь есть время и требования по оборудованию, просто это сотни тысяч лет - выглядят вполне приемлемо для бизнеса :)