|
|
|
October 24th, 2009
04:19 pm - приласкайте свою паранойю
...ПОТОМУ ЧТО ТЫ НЕ ШИФРУЕШЬ НИХЕРА,
ДАЖЕ ТАМ, ГДЕ МОЖЕШЬ И ЭТО ПРОСТО.(c) ![[info]](http://l-stat.livejournal.com/img/userinfo.gif) arkanoid
Наконец-то собрался и возродил свой собственный центр сертификации, на основе tinyCA.
Слишком уж много развелось в хозяйстве самоподписанных SSL-сертификатов: для вики-вебсервера, для почтового сервера, для джаббер-сервера. Каждый надо проверять и разрешать исключения, на каждом клиенте. У некоторых уже успел кончиться срок действия, на такое новый firefox ругается особенно пугающе.
А теперь сгенерировал на 10 лет корневой сертификат и положил в надежном месте, установил на всех «моих» машинах. Пока подписал ключи всех SSL- и TLS-серверов, пока разбросал полученные серверные сертификаты по конфигам и хранилищам, — пару часов угробил. Зато теперь красота!
Приятным дополнением к припадку админского буйства стал клиентский почтовый сертификат, подписанный Verisign. Как-то давно я получил бесплатный персональный сертификат от Thawte, не очень качественный, без имени и фамилии, вида “Thawte Freemail Member <versus@suslika.net>”. Контора эта, точнее её Web-Of-Trust, благополучно закрывается с 16 ноября, зато уже прислала токен на получение аналогичного сертификата от Verisign, за который обычно дерут $20 в год.
Теперь письма буду подписывать настоящим именем и фамилией, если что - проверяйте красную печать на конвертике:
Всё, на сегодня трудовой подвиг совершен. Пойду новости почитаю.
|
Comments:
![[User Picture]](http://l-userpic.livejournal.com/63118325/4263486) | | From: | alogic |
|---|
| Date: | October 26th, 2009 11:30 pm (UTC) |
|---|
| | | (Link) |
|
А у меня есть gpg ключ. Не подойдёт?:)
![[User Picture]](http://l-userpic.livejournal.com/53389292/6778201) | | From: | llivejo |
|---|
| Date: | October 27th, 2009 12:31 am (UTC) |
|---|
| | | (Link) |
|
Подойдет, конечно. И у меня такой есть, тоже надо в ЖЖ выложить.
Вот только сертификат годится ещё и для подтверждения аутентичности моей переписки с любым новым корреспондентом, исчезает опасность перехвата или подмены моего GPG-ключа - я его fingerprint в подписи могу указывать, а адресат целостность моего письма сразу по сертификату Verisign может проверить.
| | From: | alogic |
|---|
| Date: | October 27th, 2009 02:15 am (UTC) |
|---|
| | | (Link) |
|
А точно сертификат у тебя украсть нельзя? GPG ключ тоже ведь можно подписывать у разных авторитетных людей и по этим подписям убеждаться, что он именно от того человека, который в нём записан.
| | From: | llivejo |
|---|
| Date: | October 27th, 2009 02:43 am (UTC) |
|---|
| | | (Link) |
|
Стоп, стоп! Не вижу логической связки между двумя предложениями. > А точно сертификат у тебя украсть нельзя? Можно украсть. Точно так же как можно украсть приватную часть твоего GPG ключа, чтобы за тебя подписывать письма, только еще пасс-фразу придется заломать. Ну и у меня тоже пассфраза есть на приватной части сертификата. > GPG ключ тоже ведь можно подписывать у разных авторитетных людей и по этим подписям убеждаться, что он именно от того человека, который в нём записан. Да, можно считать что я подписываю свои письма GPG-ключом, который подписал Verisign. Большой авторитет :-) Плюс в том, что Verisign'овский публичный ключ уже есть по умолчанию в некоторых почтовых клиентах, а ключи тех, кто подписал твой GPG-ключ - нет. Вообще, это просто разные способы реализации S/MIME. PGP и GPG к сертификатам тоже пришли в конце концов.
| | From: | alogic |
|---|
| Date: | October 27th, 2009 03:20 am (UTC) |
|---|
| | | (Link) |
|
Я ж не спорю, я спрашиваю:)
| | From: | llivejo |
|---|
| Date: | October 27th, 2009 03:22 am (UTC) |
|---|
| | | (Link) |
|
так и запишем - для потока вопросов логические связки не нужны :-)
| | From: | alogic |
|---|
| Date: | October 27th, 2009 03:34 am (UTC) |
|---|
| | | (Link) |
|
Иногда людям просто так отвечать скучно:)
| | From: | llivejo |
|---|
| Date: | October 27th, 2009 05:05 am (UTC) |
|---|
| | | (Link) |
|
спасибо за комментарии, захотелось написать пост про PGP и вообще шифрование
| | From: | alogic |
|---|
| Date: | October 27th, 2009 05:19 am (UTC) |
|---|
| | | (Link) |
|
Да, много необразованных ещё ходит. Я соприкоснулся с этой темой только недавно на конференции, где key-signing party устроили.
| | From: | llivejo |
|---|
| Date: | October 27th, 2009 10:10 am (UTC) |
|---|
| | | (Link) |
|
нашел мануал как X.509 сертификаты загружать в PGP как ключи: pdf (61KB)
| | From: | alogic |
|---|
| Date: | October 27th, 2009 08:19 pm (UTC) |
|---|
| | | (Link) |
|
В конце даже есть как в GnuPG это сделать. Спасибо. |
|
