|
ru.unix.bsd
- RU.UNIX.BSD ------------------------------------------------------------------
From : Nick Leuta 2:5020/400 15 Jul 2002 17:50:19
To : Valentin Nechayev
Subject : Re: Hепонятки с SMTP AUTH
--------------------------------------------------------------------------------
"Valentin Nechayev" <netch@segfault.kiev.ua> сообщил/сообщила в новостях
следующее:
> >>> Nick Leuta wrote:
> > >>> И за сертификат бабки дерут.
> > NL>> А OpenSSL для чего придумали?
> >> А ты будешь во все клиенты его импортить?
> NL> Во-первых, зачем импортировать - в большинстве случаев достаточно
добиться,
> NL> чтобы для серверного сертификата "имя компьютера в сети Интернет
совпадало с
> NL> именем, указанным в сертификате".
> Hijacking во всех формах, значит, считаем несущественным. Hу-ну.
> Ты всегда уверен, что если пустил коннект на 1.2.3.4 и тебе ответили
надлежащим
> образом, то ты разговариваешь действительно с нужным 1.2.3.4, а не тулзой
> на ближайшем раутере?
Hу, от такой басни спасет разве что наличие сертификатов на обоих концах. Hу
а раз уж _настолько_ озаботиться безопасностью, то поставить своему
Mail/Web/FTP/etc клиенту сертификат своего же собственного CA - _явно_ не
проблема.
> NL> А более глубокая верификация для простого
> NL> шифрования трафика и не нужна
> Для шифрования вообще никакая верификация не нужна - обменялись ключами
> и полетели. Верификация нужна, чтобы быть уверенным, что разговариваешь
> с тем, с кем хотел. А уже тут шифрование выступает как средство продолжать
> разговор именно с тем, с кем начинал, а не вклинившимся Васяси из Токио.
Угу, именно. Более того, сертификаты можно использовать для
аутентификации _вместо_ login/password'a.
А вот кстати же, многие ли из imap/pop3/smtp серверов такое умеют?
> NL> (она и такая-то не нужна, но вот тот же
> NL> аутглюк упорно пытается это проверять).
> И правильно делает.
А толку-то, тем более что для одного IP может быть _много_ имен DNS, но это
почему-то не учитывается при такой "проверке" (ну, может, конечно,
реализация "проверки" кривая?)... Лучше бы "подписанность" проверял - куда
больше бы пользы было. Вот IE правильно себя ведет - на то, что подписан
сертификат неизвестным ему CA, честно ругается.
===================
* Linux... Хотели-то как лучше, а получился опять Windows...
SkyNick
--- ifmail v.2.15dev5
* Origin: Demos online service (2:5020/400)
Вернуться к списку тем, сортированных по: возрастание даты уменьшение даты тема автор
|
