Исходное сообщение
"Релиз библиотеки OpenSSL 1.0.1 с поддержкой TLS 1.2" Отправлено тень_pavel_simple, 18-Мрт-12 16:12
>>> IPsec применяется при обмене трафиком между хостами, у которых есть об этом >>> предварительная договоренность. >> Угу, щаз... попробуй установи и поддерживай соединение с "договорёнными" хостами из дома. >> Только не говори, что у вас к удалённым хостам прямой оптокабель! > Кабеля нет, зато есть PSK или сертификат, для обмена трафиком с этими > хостами. В большинстве случаев SSL/TLS работает не требуя от клиента авторизации, > в отличие от IPsec где обе стороны знают друг о друге. повторяем для невнимательных для работы ssl/tls в том виде в которjм вы её здесь описываете необходима инфраструктура сертификатов (т.е. хосты напрямую себя не знают, но чтобы работать безопасно клиент должнен знать публичный ключ сервера, который он собственно получает на этапе согласования) -- подобная схема реализуется в том-же racoon'е с помощью схемы rsasig P.S. опять-же процедура проверки валидности предоставленного сертификата во всей красе показала себя в этом году -- т.к. сильно желающие смогли получbть сертификаты многих разных уважаемых контор -- отсюда следует что раз схема не гарантирует безопасных транзакций то эта схема не гарантирует ничего -> на свалку P.P.S. тот-же racoon написан кросплатформенно поэтjму для уровня приложений получить информацию об аутентифицироваyном пользователе он не позволяет, но никто не мешает в том-же linux'е запросить параметры установленного соединения через netlink, более того в рамках selinux/netlabel/LSM соединение может быть отправленно в необходимый домен selinux.