LINUX.ORG.RU

История изменений

Исправление shimshimshim, (текущая версия) :

Потому что сертификаты пинят (в смысле Public Key Pinning, был еще другой вариант, но от него отказались) или жестко зашивая привязку в свой собственный апп, или вручную для каждого сайта в отдельности. С последним помимо неудобства возникает проблема доверенного канала - как ты можешь быть уверенным, что в момент когда ты делаешь пин, сертификат уже не скомпрометирован? Это вот именно то, что будет происходить с прокси, про которую я писал выше. Ну то есть с «сертификатами минцифры» это будет понятно, но тоже далеко не всем, откуда обычному человеку знать, какой серт должен буть у сайта, от комодо или от минцифры. Так что в браузере эта технология массовой и универсальной никогда не станет.

В общем-то люди пользуются инфраструктурой CA вместо GPG как раз поэтому - нет доверенного канала передачи сертификатов, каждый раз на дискетке приносить домой сертификат - ну сам понимашь. Пиннинг это попытка усидеть на двух стульях, предполагая в качестве безопасного канала систему дистрибуции аппов.

Исправление shimshimshim, :

Потому что сертификаты пинят (в смысле Public Key Pinning, был еще другой вариант, но от него отказались) или жестко зашивая привязку в свой собственный апп, или вручную для каждого сайта в отдельности. С последним помимо неудобства возникает проблема доверенного канала - как ты можешь быть уверенным, что в момент когда ты делаешь пин сертификат уже не скомпрометирован? Это вот именно то, что будет происходить с прокси, про которую я писал выше. Ну то есть с «сертификатами минцифры» это будет понятно, но тоже далеко не всем, откуда обычному человеку знать, какой серт должен буть у сайта, от комодо или от минцифры. Так что в браузере эта технология массовой и универсальной никогда не станет.

В общем-то люди пользуются инфраструктурой CA вместо GPG как раз поэтому - нет доверенного канала передачи сертификатов, каждый раз на дискетке приносить домой сертификат - ну сам понимашь. Пиннинг это попытка усидеть на двух стульях, предполагая в качестве безопасного канала систему дистрибуции аппов.

Исходная версия shimshimshim, :

Потому что сертификаты пинят (в смысле Public Key Pinning, был еще другой вариант, но от него отказались) или жестко зашивая привязку в свой собственный апп, или вручную для каждого сайта в отдельности. С последним помимо неудобства возникает проблема доверенного канала - как ты можешь быть уверенным, что в момент когда ты делаешь пин сертификат уже не скомпрометирован? Ну то есть с «сертификатами минцифры» это будет понятно, но тоже далеко не всем, откуда обычному человеку знать, какой серт должен буть у сайта, от комодо или от минцифры. Так что в браузере эта технология массовой и универсальной никогда не станет.

В общем-то люди пользуются инфраструктурой CA вместо GPG как раз поэтому - нет доверенного канала передачи сертификатов, каждый раз на дискетке приносить домой сертификат - ну сам понимашь. Пиннинг это попытка усидеть на двух стульях, предполагая в качестве безопасного канала систему дистрибуции аппов.