Ещё немного про PKI
Dec. 12th, 2015 11:10 pm![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
beldmitВ ICANN считают, что текущая система PKI небезопасна, и спасти её можно, опираясь на DANE (то есть на DNSSec) и Certificate Transparency.
Теоретически, конечно, это верно. А практически неудобен тот DNSSec, не любят в браузерах DANE, с Certificate Transparency есть масса вопросов и дырок в спецификации, а попытки, например, сказать, что для доверенных сертификатов надо ограничивать доменные зоны, в которых они могут выпускать сертификаты, вызовут грандиозные политические склоки. И в криптографических библиотеках поддержка всех этих ограничений работает не всегда.
Теоретически, конечно, это верно. А практически неудобен тот DNSSec, не любят в браузерах DANE, с Certificate Transparency есть масса вопросов и дырок в спецификации, а попытки, например, сказать, что для доверенных сертификатов надо ограничивать доменные зоны, в которых они могут выпускать сертификаты, вызовут грандиозные политические склоки. И в криптографических библиотеках поддержка всех этих ограничений работает не всегда.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2015-12-13 07:37 am (UTC)no subject
Date: 2015-12-13 09:30 am (UTC)no subject
Date: 2015-12-13 09:50 am (UTC)Отдельно — идея, что цепочка доверия может восходить только к одному корневому CA. (Именно идея — чисто технически можно выписать несколько сертификатов на одну ключевую пару у разных CA, но ни один инструмент не сможет пройти сразу по нескольким цепочкам доверия, поскольку все реализуют именно эту идею.)
no subject
Date: 2015-12-13 12:21 pm (UTC)