?

Log in

No account? Create an account
PKI, doing it wrong - Журнал Восставшей Машины [entries|archive|friends|userinfo]
ArkanoiD

[ userinfo | livejournal userinfo ]
[ archive | journal archive ]

PKI, doing it wrong [Feb. 24th, 2012|02:29 pm]
ArkanoiD
Меня просто в ступор вводит количество людей, которые считают, что нормальная практика смешивать domains of trust:

a) подписывая корпоративную инфраструктуру с помощью публичного рута
b) инспектируя на периметре контент с помощью подписанного публичным рутом subordinate CA

потому что деплоймент корпоративного рута это СЛОЖНО

то есть, если ты недоумок, который не в состоянии разобраться с ключами от своих дверей, это нормально -- вручить их кому попало в интернете в первом случае и потребовать себе ключ, который откроет все двери в мире во втором.

Пиздец.
linkReply

Comments:
[User Picture]From: loginex
2012-02-24 10:40 am (UTC)
это тонкий намек про траствейв или кого ты еще имел ввиду ?
(Reply) (Thread)
[User Picture]From: wizzard0
2012-02-24 10:51 am (UTC)
да не только траствейв, в том-то и дело

во всяком случае, п. а) делают просто дофигища народу
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: alexkuklin
2012-02-24 10:47 am (UTC)
эээммм... а что сложного, кроме того, что ни в айфончики, ни в андройды, ни в симбианы ты свой CA не запихнешь?
(Reply) (Thread)
[User Picture]From: wizzard0
2012-02-24 10:50 am (UTC)
и шо, таки да?

/me еще раз порадовался что купил себе виндофон и всобачил туда собственный рут
(Reply) (Parent) (Thread)
[User Picture]From: arkanoid
2012-02-24 10:51 am (UTC)
В симбианы я запихивал штатными тулзами. Что в остальные никак тоже не очень-то верится.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: tobotras
2012-02-24 11:11 am (UTC)
В чем заключается процесс b), не понял :(
(Reply) (Thread)
[User Picture]From: alexkuklin
2012-02-24 11:15 am (UTC)
это предмет лютого баттхерта последнее время - кого-то из крупных CA поймали за руку на продаже subordinate сертификатов, дающих право выписать любой сертификат, что дает возможность реализовать MitM атаку.

http://www.opennet.ru/opennews/art.shtml?num=33127
http://www.opennet.ru/opennews/art.shtml?num=33034
(Reply) (Parent) (Thread)
[User Picture]From: rblaze
2012-02-24 11:26 am (UTC)
Проблема не в том, что сложно деплоить. Проблема в том, что это сложно сделать незаметно.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-02-24 11:30 am (UTC)
А делать это "незаметно" в большинстве стран тупо противозаконно.
(Reply) (Parent) (Thread) (Expand)
[User Picture]From: _slw
2012-02-24 01:16 pm (UTC)
ты прикидываешься, да?
инспектирование на периметре мало того что не завязано на корпоративного рута, более того -- корпоративный рут там не только лишний а прямо таки вредный.
почему так -- задание на подумать.
(Reply) (Thread)
[User Picture]From: arkanoid
2012-02-24 01:52 pm (UTC)
Ну давай рисуй, почему так. Пока ты мне описывал исключительно хуиту.
(Reply) (Parent) (Thread) (Expand)
(Deleted comment)
[User Picture]From: arach_tech
2012-02-24 06:26 pm (UTC)

это у белки орехи и шишки..

чтобы написать что-нибудь позитивное сначала нужно покурить что-нибудь позитивное, потому что без воскурения позитивного ничего позитивного в нашем долбаном непозитивном мире не увидеть/придумать ни в каком позитивном настроении.
(Reply) (Parent) (Thread)
(Deleted comment)
[User Picture]From: lumag
2012-03-01 08:48 am (UTC)
А чем плохо a)?
(Reply) (Thread)
[User Picture]From: arkanoid
2012-03-01 09:03 am (UTC)
а если подумать?
(Reply) (Parent) (Thread) (Expand)