Исходное сообщение
"Взлом аккаунта в удостоверяющем центре Comodo привёл к генер..." Отправлено iZEN, 26-Мрт-11 01:12
>> OCSP-сервер является важным дополнительным средством подтверждения подлинности сертификата > По-моему, фичу блеклиста можно сделать и менее через анус. У Mozilla это делается перевыпуском версии браузера, в которой обновляется хранилище сертификатов CA. Либо включением обязательно проверки актуальности сертификатов в настройках устаревшей версии браузера, как я написал. > А вот если банковская транзакция сорвется только потому что по OCSP не смогли достукаться до сервера - это будет не прикольно. > Частота отказов вырастет в РАЗЫ, если это будет поводом не проводить транзакцию вообще. Ещё один повод банку задуматься о поддержке инфраструктуры защищённых транзакций. С ломаемой, не выдерживающей натиска инфраструктурой никто связываться не захочет, с банком её имеющей — тем более! > А то если сбойнет роутер по пути - очевилно, > пакеты доставлены не будут и соединиться с OCSP сервером я не > смогу. Если это будет поводом убить сертификат, как ты предлагал - > я, очевдно, на раз лишусь сертификата по причине всего лишь отваливания > роутера. Достаточно частого явления в интернете в общем то. Я не предлагал убивать сертификат. Если программа не может подтвердить легитимность сертификата ни по блэклисту, ни при связи с OCSP-сервером, то она не должна давать пользователю права совершать транзакцию с "сертифицированным" сайтом, так как защищённость соединения под сомнением. Нужно обязательно выяснить, можно всё ещё доверять сайту или уже нельзя, а как это делается (автоматизированно или звонком в банк) — решать пользователю.