> Почитай, что ли, об SSL-сертификатах и на чём держится протокол HTTPS.Я в курсе на чем он держится, спасибо. OCSP не является обязательной частью. А ты предлагаешь аж прибивать сертификаты если он не сработает. Спасибо, елки. Этак любой даунтайм сетевого оборудования будет вызывать столпотворения в банках.
> OCSP-сервер является важным дополнительным средством подтверждения подлинности сертификата
По-моему, фичу блеклиста можно сделать и менее через анус. Например как БД плохих парней у мозиллы, так что единичный неконект к серверу вообше ничего не даст кроме возможно устаревания БД плохих парней на некий не сильно большой срок. А вот если банковская транзакция сорвется только потому что по OCSP не смогли достукаться до сервера - это будет не прикольно. Частота отказов вырастет в РАЗЫ, если это будет поводом не проводить транзакцию вообще.
> и его срока действия, что увеличивает защищённость транзакций, но никак не
> уменьшает.
Все хорошо в меру. А то так можно дойти до того что тебя (для защиты, разумеется) нужно посадить в основательно укрепленное здание. И надзирателей приставить. Ну так, для защиты, ну и чтобы ты не сбежал по глупости своей, не поняв своего счастья. Правда вот когда защита начинает мешать достигать целей, мы почему-то начинаем называть укрепленное здание ... тюрьмой. Странно.
> Теорвер я проходил в СУЗе и в ВУЗе, не беспокойся за меня.
Мимо ты его проходил, судя по всему.
> Угу. Вот только роутеры на пути следования зашифрованного сообщения НЕ_ВХОДЯТ в эту
> цепочку и по умолчанию считаются незащищёнными. ;)
Что значит "не входят?" Пакеты передаются до OCSP сервера методом телепатии чтоли? oO А то если сбойнет роутер по пути - очевилно, пакеты доставлены не будут и соединиться с OCSP сервером я не смогу. Если это будет поводом убить сертификат, как ты предлагал - я, очевдно, на раз лишусь сертификата по причине всего лишь отваливания роутера. Достаточно частого явления в интернете в общем то.
> Он не сторонний. Он — доверенный CA.
Да хоть лысый черт. Это третья сторона между мной и банком, не являющаяся участником операции. Поэтому для меня и банка он сторонний, как ни крути.
> Вот если "хрензнаткак_он_работает", значит стоит обратить внимание
> на культуру обслуживания клиентов в этой организации. Бардак начинается с малого.
Так иди и построй всех провов на планете Земля чтобы у них роутеры не падали. А то только вчера наблюдал дивный трейсроут где-то в европе, когда парочка роутеров устраивала между собой пинг-понг до посинения моими пакетами вплоть до истечения ТТЛ :). Если бы эти красавцы были по пути к OCSP серверу а софт писал бы ты - я бы уже лишился сертификата и двигал бы в банк, да? Всю жизнь мечтал убить полдня только потому что роутер где-то упал, мля :)
> Ни один сайт, поддерживающий HTTPS для организации защищённого соединения, не станет работать
> с клиентской программой, не поддерживающей работу с SSL/TLS-сертификатами.
Кэп, вы ли это? :)))
> установлены в пользовательском ПО.
Не, ты сегодня определенно решил заделаться в капитаны, да?!
>> Онлайн проверка сертификата - и здорово тормозит, и снижает надежность.
> Откуда ты это выдумал?
Теорвер подсказал. Ну и практика работы с разными системами. Включая достаточно сложные и многостадийные. Чем больше звеньев - тем чаще загибается. Так что теорвер отлично согласуется с тем что на практике. Предпочитаю чтобы теорвер на меня работал, а не против меня.
> Причём тут Верисайт?
Как пример ауторити, предоставляюшей некие, достаточно критичные (для тех кто ими пользуется) в общем то сервисы. Всего лишь.
> платформ и считаются корневыми сертификатами, которые не нуждаются в дополнительной проверке,
[...]
Кэп, ну ты уже перелогинься чтоли? Или расскажи что дважды два - четыре, например? :)
>> надежный, то вот уповать на какой-то сервер за парой океанов в США,
> Роутеры на пути следования защищённого сообщения не являются членами доверенной цепочки
> обслуживания соединения. Про "тунеллирвоание" в незащищённой среде что-нибудь слышал?
Я слышал про теорию вероятности, роутинг и здравый смысл. Они мне говорят что если по пути к OCSP серверу нагнется роутер, протокольные пакеты не смогут доставиться. И я получу волшебную фигу вместо конекта к OCSP серверу. И как-то не прикольно по этому поводу обламываться то. Если я еще могу надеяться на то что прововский DNS близко, и банковский сервак не так уж далеко, то вот про OCSP этого не скажешь. А т.к. ты предлагаешь все обломать и даже убить сертификат - мне несложно представить столпотворение в банке после отвала любого крупного магистрального роутера, из-за которого толпа хомяков не смогла проверить серт по OCSP :)))
> У банков идёт внутреннее разделение служб, обслуживающих счета пользователей и сосбственные
> счета.
Можно подумать, хакерам большая разница с каких счетов бабла потырить. Потырят с тех к которым доступ получили, прикинь? :)))
> Компрометация сертификата, используемого для Web-транзакций, всего лишь —
> компрометация сертификата и ничего сверх того.
Как-то слишком оптимистично. Как минимум хаксоры смогут делать что угодно от лица якобы сервера. Которому по идее доверять полагается, хе-хе :). Доверять хаксорам - неплохо придумано. Может им сразу еще и кошелек отдать, доверив управление бабками в более простой и доступной форме? :)
>> - Оно в таком виде сильно тормозит конект.
> Почему?
Потому что плюсуется время на обмен с OCSP сервером, ессно. Если ты хочешь выносить решение на основании этого обмена - тебе придется дождаться его окончания. Я тоже Кэп, ага :)
>> - Оно в таком виде снижает надежность.
> С чего бы вдруг?
С того что в игру вступает уйма лишних узлов. OCSP сервер. DNS оного. Роутеры по пути к им обоим. И т.п.. Если что-то из этого облажается - ну мы не сконектимся к OCSP серверу тогда. И по твоей логике должны убить сертификат. Ох и часто они будут убиваться, имхо. Очереди в банках определенно возрастут за счет тех кто будет получать сертификаты при любом дауне роутеров и прочая :)))
>> - Оно в таком виде дает возможность реалтаймного саботажа в меру дури ауторити.
> Не менее, как и тот же пользовательский сайт.
Опять же - возвращаясь к теории вероятности, одна точка возможного отказа лучше чем две точки возможного отказа. По факту точек отказа намного больше ибо есть еще DNS-сервера, роутеры по пути, етц - 100500 разных узлов. Их и так то немало, а станет еще в разы больше.
> Не менее, как и тот же пользовательский сайт.
Сайт банка обычно стараются разместить близко к юзеру и скажем русскоязычный сайт не ставит себе целью обслужить всю планету. А OCSP-серверу придется обслуживать имено всю планету. Не, конечно можно их везде наставить но тогда их надежность снизится т.к. возрастет риск взлома, а во вторых, не очень понятно кто это будет оплачивать. Банк с неуспеха моей транзакции имеет вагон проблем - я им долго полоскаю мозг, они несут затраты на саппорт и разбирательства. Обладатель OCSP сервера - никаких убытков не несет. Завалил транзакцию? Да и черт и с ним! Это у банка и у юзера проблемы, мля.
>> point of failure :)
> Это НЕ техническая проблема.
Угу, а какая? Политическая чтоли? Лишние точки отказа - вполне себе технические проблемы.
> Ты описал DRM во все поля. ;)
При чем тут DRM? Я описал обычный антифишинговый фильтр как в файрфоксе. Не вижу чьи права он ограничивает.
> Это НЕ техническая проблема. DDoS-атаки выявляются и преследуются по закону.
Ну да, когда тебе на сервак со всей планеты валится крап - конечно же сразу становится понятно кого надо преследовать. Наверное те легионы ботов которые трафф валят. Правда, они про это даже не в курсе что их компы срут, а к сожалению, за тупость и ненадлежащее содержание компьтерных систем почему-то не сажают. Поэтому судебные перспективы выглядят довольно сомнительно (кроме случая когда ты адвокт и хочешь срубить бабла, не важно с какой из сторон :D). А организаторы ддосов кроме случаев совсем уж клинического даунизма обычно забывают оставить свой адрес для упрощения поимки. Поэтому пойманых почему-то сильно меньше чем количество ддос-атак.
