← All posts tagged SSL

schors

У меня вчера был день камингаутов по SSL. Commodo изменил правила проверки организаций. У большинства дилеров на сайтах конечно же этого изменения нет. Теперь Commodo звонить по телефону только из базы налоговой службы или из DUNS. DANE ueber alles!

schors

забавно, но внезапно провайдеры саботируют блокировку github. Северен (который кстати Ростелеком) в офисе не заблокировал, at-home не заблокировал, хостинговый транзит не заблокировал. HTTPS, а IP блочить не рискуют. ну кроме Хабардистов конечно

schors

Мне лень писать анонс и табличку. Поэтому сегодня цены в соответствии с курсом не повышу. Аттракцион невиданной щедрости — SSL-сертификаты по демпинговым ценам до 23 ноября. diphost.ru как там выражовываются? максимальный репост

schors

вот есть такой в nginx ssl_dhparam файл; меня собственно что интересует — сожержимое этого dhparam насколько часто менять надо? оно для каждого виртуального хоста требуется или один на всё можно? не понимаю сути вопроса

schors

забыл совсем. а ведь DANE не убьёт существующее SSL PKI. они вполне взаимосуществующие. ведь x509 отлично удостоверяет сайт. мошеннеческий от нормального магазины различить, например

schors

вопрос, а кто-нибудь делал в вебе авторизацию по x509 клиентскому? меня не техника интересует, а кейсы. там оно как работает — сертификат передался и этим ключём со стороны клиента всё шифруется? один раз или всё время? я как-то запутался

schors

вообще конечно с SSL это страх перед математикой. там куча лишнего и ненужного в утилитах и сертификатах. половина не используется, половина дублируется, половина игнорируется, половина используется недокументированно. уже пора сделать новый стандарт сертификатов

schors

есть вопрос про x509. вот смотрите. стоит задача — к некоему абстрактному сертификату подобрать полностью цепочку доверия из некоего уже как-то заполненного хранилища x509 сертификатов. я правильно понимаю, что ссылка на иссуера — это текстовое поле DN в атрибуте "иссуер" сертификата, которое должно совпадать с текстовым полем DN атрибута "сабжект" вышестоящего сертификата? и проверить соответствие я могу только проверив подпись? и например, если у меня несколько сертификатов имеющих идентичные пола DN атрибута сабжект, я должен пробежаться по всем по очереди и их ключами проверить подпись данного? т.е. нет например в сертификате хэша публичного ключа иссуера?