Сообщение Re[9]: Маск подо**рал все спецслужбы мира, включая свои от 02.09.2024 15:05
Изменено 02.09.2024 15:07 vdimas
Re[9]: Маск подо**рал все спецслужбы мира, включая свои
Здравствуйте, m2user, Вы писали:
M>Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.
M>В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).
Дык, в этом и суть — идентификации всегда подвергается противоположная сторона.
Т.е. это в интересах клиента — удостовериться, что он подключается именно на jabber-сервис, а не к MITM.
Тогда, в случае приватного дочернего CA, клиенту для надёжной валидации истинности сервера необходимо использовать именно указанную цепочку валидации для сервера.
А если клиент валидирует сервер недостаточно тщательно, то такой клиент ССЗБ.
В TLS вообще есть возможность разрешить соединение, даже если валидация не прошла, если валидируется только сервер, как в случае браузинга или подключения к сервисам, навроде джаббера.
Ну и, в финансовой области, зачастую клиентам тоже раздают сертификаты, которые серверной частью валидируются относительно приватных цепочек сертификатов (как минимум дочерних их СА).
В этом случае сервер дополнительно защищается от левых клиентов, т.е. сервер защищает от левых клиентов остальных участников торгов.
M>Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.
M>В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).
Дык, в этом и суть — идентификации всегда подвергается противоположная сторона.
Т.е. это в интересах клиента — удостовериться, что он подключается именно на jabber-сервис, а не к MITM.
Тогда, в случае приватного дочернего CA, клиенту для надёжной валидации истинности сервера необходимо использовать именно указанную цепочку валидации для сервера.
А если клиент валидирует сервер недостаточно тщательно, то такой клиент ССЗБ.
В TLS вообще есть возможность разрешить соединение, даже если валидация не прошла, если валидируется только сервер, как в случае браузинга или подключения к сервисам, навроде джаббера.
Ну и, в финансовой области, зачастую клиентам тоже раздают сертификаты, которые серверной частью валидируются относительно приватных цепочек сертификатов (как минимум дочерних их СА).
В этом случае сервер дополнительно защищается от левых клиентов, т.е. сервер защищает от левых клиентов остальных участников торгов.
Re[9]: Маск подо**рал все спецслужбы мира, включая свои
Здравствуйте, m2user, Вы писали:
M>Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.
M>В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).
Дык, в этом и суть — идентификации всегда подвергается противоположная сторона.
Т.е. это в интересах клиента — удостовериться, что он подключается именно на jabber-сервис, а не к MITM.
Тогда, в случае приватного дочернего CA, клиенту для надёжной валидации истинности сервера необходимо использовать именно указанную цепочку валидации для сервера.
А если клиент валидирует сервер недостаточно тщательно, то такой клиент ССЗБ.
В TLS вообще есть возможность разрешить соединение, даже если валидация не прошла, если валидируется только сервер, как в случае браузинга или подключения к сервисам, навроде джаббера.
Т.е., выстрелить себе в ногу ни разу не запрещено. ))
Ну и, в финансовой области, зачастую клиентам тоже раздают сертификаты, которые серверной частью валидируются относительно приватных цепочек сертификатов (как минимум дочерних их СА).
В этом случае сервер дополнительно защищается от левых клиентов, т.е. сервер защищает от левых клиентов остальных участников торгов.
M>Если клиентской и серверной частью управляет одна и та же организация, то сторонние CA конечно не нужны.
M>В общем случае это не так. С jabber.ru может работать любой third-party клиент (или сервере для S2S коммуникаций).
Дык, в этом и суть — идентификации всегда подвергается противоположная сторона.
Т.е. это в интересах клиента — удостовериться, что он подключается именно на jabber-сервис, а не к MITM.
Тогда, в случае приватного дочернего CA, клиенту для надёжной валидации истинности сервера необходимо использовать именно указанную цепочку валидации для сервера.
А если клиент валидирует сервер недостаточно тщательно, то такой клиент ССЗБ.
В TLS вообще есть возможность разрешить соединение, даже если валидация не прошла, если валидируется только сервер, как в случае браузинга или подключения к сервисам, навроде джаббера.
Т.е., выстрелить себе в ногу ни разу не запрещено. ))
Ну и, в финансовой области, зачастую клиентам тоже раздают сертификаты, которые серверной частью валидируются относительно приватных цепочек сертификатов (как минимум дочерних их СА).
В этом случае сервер дополнительно защищается от левых клиентов, т.е. сервер защищает от левых клиентов остальных участников торгов.