Сертификаты-сертификаты (петь на мотив песни Городницкого)

May. 3rd, 2019 10:22 pm
nataraj: (Default)
[personal profile] nataraj
Чегой-то я не пОняла...
А с какого перепугу для работы xmpp dhyan@nataraj.su все ожидаю что у меня будет сертификат не только на тот хостнейм который в SRV прописан, но и nataraj.su
Они там немножко много кушать рыбного супа? Леценкрипт головного мозга?
Ладно некая неизвестная сетевая проверялка
https://xmpp.net/result.php?domain=nataraj.su&type=server
Но и psi и pidgin тоже желают обоих сертификатов, при этом psi сертификатов не самоподписанных...
Это какой-то... позор! (тм)
Я в возмущении...
Не буду леценкрипта. И денег лишних платить тоже не буду!
Tags:
Threaded | Top-Level Comments Only

Date: 2019-05-04 08:18 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Ну сделай ты джаббер сервер ровно на том адресе, в который резолвится хостнейм nataraj.su и не мучайся.

Date: 2019-05-04 08:21 am (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
А вобще ну выучи ты синтактси команды openssl ca и ставь сертификаты, подписанные тобой, но не самоподписанные. В смысле держи полноценную свою CA. Всех клиентов, которым ты можешь поставить сертификат этого CA в trusted store это явно устроит (твой psi - уж точно).

Date: 2019-05-04 10:49 am (UTC)
From: [personal profile] aceler
А если ты не можешь доказать, что ты владеешь nataraj.su, как ты докажешь, что SRV запись правильная?

Date: 2019-05-04 04:00 pm (UTC)
nataraj: (Default)
From: [personal profile] nataraj
Ну видимо в какой-то момент так и сделаю...

Date: 2019-05-04 04:06 pm (UTC)
nataraj: (Default)
From: [personal profile] nataraj
А что ты думаешь про http://www.cacert.org/ в качестве такого центра. Все как-то поцентраллизованнее? Как минимум в рамках тусовки, если все будут им пользоваться, то у всех будет работать и остальное тоже...

Сейчас я его на nataraj.asuscomm.com выписать не могу, ибо оно проверят владение домена путем отправки письма на технические адреса этого домена, а я только на A запись естетсвенным образом могу влиять...

Со своими удостоверяющими центрами я поигрался, но в целом на данном этапе хрен редьки не слаще... и не удобнее..

Date: 2019-05-04 04:10 pm (UTC)
nataraj: (Default)
From: [personal profile] nataraj
Дайте справку что вы не вюрблюд?

Очень такое странный метод подтверждения валидности записи в DNS, при помощи гвоздя который не от той стены...

Нет, в принципе тоже решение. Но этот гвоздь стоит доп. денег, или надо лоб подставить гуглу... Второе меня как-то совсем не устраивает...

Короче я все понимаю, но ворчу крайне громко...

Date: 2019-05-04 04:13 pm (UTC)
vitus_wagner: My photo 2005 (Default)
From: [personal profile] vitus_wagner
Я думаю, что когда ты хочешь аутентифицировать свои сервисы для доступа своих же клиентов, использовать чужие удостоверяющие центры менее секьюрно, чем свой собственный.

Публичные удостоверяющие центры нужны когда ты приходишь на чужой сайт, о котором кроме имени домена не знаешь ничего. Тогда, конечно, подтверждение со стороны letsencrypt или cacert.org, что ты попал туда, куда надо, лучше чем ничего.

Если же ты идешь со своего компьютера на свой сайт, то участие в этом процессе любой (даже не третьей, а получается что второй) стороны - уже потенциальный эксплойт. Какая-нибудь NSA может заставить cacert.org выдать сертификат на твой домен с их публичным ключом, и скрыть это от тебя.
Если они придут заставлять тебя выдать левый сертификат на твой домен, ты, как минимум, об этом узнаешь.
Threaded | Top-Level Comments Only

Profile

nataraj: (Default)
Swami Dhyan Nataraj

July 2024

S M T W T F S
 123456
789 10111213
14151617181920
21222324252627
28293031   

Most Popular Tags

Page Summary

Style Credit

Expand Cut Tags

No cut tags
Page generated Mar. 10th, 2026 12:19 pm
Powered by Dreamwidth Studios