forum.opennet.ru

Составление сообщения

Исходное сообщение

"Новая версия почтового сервера Exim 4.95"
Отправлено Аноним, 01-Окт-21 16:38

Летели 2 крокодила, один зеленый, второй налево. Как зовут бабушку дворника?
OCSP - это протокол для получения ответов о валидности сертификата с центра сертификации.
По-нормальному, это когда есть двухступенчатая инфраструктура PKI. У тебя есть корневой и промежуточный ЦС. Корневой выдает сертификаты для других ЦС, а промежуточный выдаёт сертификаты для пользователей (S/MIME) и серверов (TLS). Эта инфраструктура предполагает развертывание маленького, но отказоустойчивого вебсервера, на базе которого обслуживаются ответы CDP и AIA.
Клиент SSL (не в смысле почты, а тот кто производит проверку) должен иметь возможность выкачать цепочку. Для этих задач у тебя в полях сертификата пишутся URL-адреса к файликам CRT в формате DER. Так работает расширение Authority Information Access (AIA). Технически ты можешь использовать для этого 3 формата адресов http:// ldap:// на практике последний современные клиенты библиотеки поймут http, ldap далеко не все. OCSP - описывается в расширении AIA. Помимо этого у тебя есть CDP (CRL Distribution Point) который отдаёт списки CRL (Certificate Revocation List) и они вообще в другом расширении. Там опять же либо веб-сервер, либо ldap.
OCSP решает проблему больших CRL на промежуточном ЦС. Если для установки соединения, для проверки сертификата необходимо выкачать файлик размером 10 мегабайт, то это проблема. Сначала для решения этой проблемы придумывали костыли вроде "delta" CRL, предлагая партиционировать CRL так чтобы список большой список отзыва перевыпускался редко и кешировался надолго и был второй список отзыва с изменениями для большого, которые потом будут применены в основной к дате и времени перевыпуска основного. На развертываниях среднего размера это решает проблемы, на крупных - нет.
OCSP это другой способ проверки отозванности. При правильно развертывании, когда OCSP-вебсервис работает относительно отдельных файлов CRL и не дрюкает ЦС запросами, когда на нем учтен возможный всплеск запросов при перевыпуске важного сертификата путем балансировки нагрузки его вполне достаточно. OCSP бесполезен, если инфраструктура PKI держит только лишь сертификаты с "проверкой подлинности сервера" и выпускает их реже раза в месяц. Проще обойтись CRL. Если есть постоянный выпуск сертификатов с "проверкой подлинности клиента" и их много, то возможно это имеет смысл.
Ситуация усугубляется если у вас не хватает мощностей на OCSP-ответы после перевыпуска и OCSP- единственный вариант для вашего ЦС (Let's Encrypt свалка). Вот тут вам может понадобиться OCSP Staple. Изначально это придумано выросло из костыля - кэширование OCSP-ответов на балансировщике нагрузки. Логика такая. ЦС разгрузили, нагрузка пошла на OCSP. Вебсервер с OCSP разгрузили нагрузка теперь на балансировщиках. Теперь давайте раздадим кэш на сами веб-сервера, на которых вешается серверный сертификат. Пусть сам веб-сервер ходит и с определенной периодичностью получает OCSP-ответы и прикрепляет их к TLS-сессии. Естественно, сертификат могут успеть отозвать, а кэш может остаться и конечно эти ответы должны быть подписаны на ЦС с указанием времени жизни.
Так вот, самое главное!
OCSP Stapling - это технология для веб-серверов, придуманная, в основном, для больших дешевых ЦС и для сайтов, публикуемых сквозь CDN. При чем здесь почта?! Никакой ПОЧТОВЫЙ сервер не обязан это делать, особенно когда речь идет об MTA. Даже MUA может не суметь это проверить. Поддержка кэширования ответов OCSP в Exim - это как купить автомобиль со встроенной электроплитой. Никто не спорит, что электроплита это круто, она не является важной и обязательной частью автомобиля. Postfix, как и другие нормальные почтари не поддерживают это по принципиальным соображениям.
Желание пользоваться OCSP на почтаре берется у тех кто пользуется Let's Encrypt и всякими флагами Must Staple. Тех кто не понимает, зачем это всё нужно. На минуточку, вам почтовый клиент не обязан wildcard в сертификате понимать, не то что OCSP Stapling. Хочешь нормальный сертификат для почты? Иди покупай сертификат, да так чтобы в нем были и AIA и CDP, чтобы и классический OCSP и CRL были доступны одновременно. А если у тебя несколько имён или IP иди докупать SAN. Это почта, дружок.

Исходное сообщение
"Новая версия почтового сервера Exim 4.95" Отправлено Аноним, 01-Окт-21 16:38
Летели 2 крокодила, один зеленый, второй налево. Как зовут бабушку дворника? OCSP - это протокол для получения ответов о валидности сертификата с центра сертификации. По-нормальному, это когда есть двухступенчатая инфраструктура PKI. У тебя есть корневой и промежуточный ЦС. Корневой выдает сертификаты для других ЦС, а промежуточный выдаёт сертификаты для пользователей (S/MIME) и серверов (TLS). Эта инфраструктура предполагает развертывание маленького, но отказоустойчивого вебсервера, на базе которого обслуживаются ответы CDP и AIA. Клиент SSL (не в смысле почты, а тот кто производит проверку) должен иметь возможность выкачать цепочку. Для этих задач у тебя в полях сертификата пишутся URL-адреса к файликам CRT в формате DER. Так работает расширение Authority Information Access (AIA). Технически ты можешь использовать для этого 3 формата адресов http:// ldap:// на практике последний современные клиенты библиотеки поймут http, ldap далеко не все. OCSP - описывается в расширении AIA. Помимо этого у тебя есть CDP (CRL Distribution Point) который отдаёт списки CRL (Certificate Revocation List) и они вообще в другом расширении. Там опять же либо веб-сервер, либо ldap. OCSP решает проблему больших CRL на промежуточном ЦС. Если для установки соединения, для проверки сертификата необходимо выкачать файлик размером 10 мегабайт, то это проблема. Сначала для решения этой проблемы придумывали костыли вроде "delta" CRL, предлагая партиционировать CRL так чтобы список большой список отзыва перевыпускался редко и кешировался надолго и был второй список отзыва с изменениями для большого, которые потом будут применены в основной к дате и времени перевыпуска основного. На развертываниях среднего размера это решает проблемы, на крупных - нет. OCSP это другой способ проверки отозванности. При правильно развертывании, когда OCSP-вебсервис работает относительно отдельных файлов CRL и не дрюкает ЦС запросами, когда на нем учтен возможный всплеск запросов при перевыпуске важного сертификата путем балансировки нагрузки его вполне достаточно. OCSP бесполезен, если инфраструктура PKI держит только лишь сертификаты с "проверкой подлинности сервера" и выпускает их реже раза в месяц. Проще обойтись CRL. Если есть постоянный выпуск сертификатов с "проверкой подлинности клиента" и их много, то возможно это имеет смысл. Ситуация усугубляется если у вас не хватает мощностей на OCSP-ответы после перевыпуска и OCSP- единственный вариант для вашего ЦС (Let's Encrypt свалка). Вот тут вам может понадобиться OCSP Staple. Изначально это придумано выросло из костыля - кэширование OCSP-ответов на балансировщике нагрузки. Логика такая. ЦС разгрузили, нагрузка пошла на OCSP. Вебсервер с OCSP разгрузили нагрузка теперь на балансировщиках. Теперь давайте раздадим кэш на сами веб-сервера, на которых вешается серверный сертификат. Пусть сам веб-сервер ходит и с определенной периодичностью получает OCSP-ответы и прикрепляет их к TLS-сессии. Естественно, сертификат могут успеть отозвать, а кэш может остаться и конечно эти ответы должны быть подписаны на ЦС с указанием времени жизни. Так вот, самое главное! OCSP Stapling - это технология для веб-серверов, придуманная, в основном, для больших дешевых ЦС и для сайтов, публикуемых сквозь CDN. При чем здесь почта?! Никакой ПОЧТОВЫЙ сервер не обязан это делать, особенно когда речь идет об MTA. Даже MUA может не суметь это проверить. Поддержка кэширования ответов OCSP в Exim - это как купить автомобиль со встроенной электроплитой. Никто не спорит, что электроплита это круто, она не является важной и обязательной частью автомобиля. Postfix, как и другие нормальные почтари не поддерживают это по принципиальным соображениям. Желание пользоваться OCSP на почтаре берется у тех кто пользуется Let's Encrypt и всякими флагами Must Staple. Тех кто не понимает, зачем это всё нужно. На минуточку, вам почтовый клиент не обязан wildcard в сертификате понимать, не то что OCSP Stapling. Хочешь нормальный сертификат для почты? Иди покупай сертификат, да так чтобы в нем были и AIA и CDP, чтобы и классический OCSP и CRL были доступны одновременно. А если у тебя несколько имён или IP иди докупать SAN. Это почта, дружок.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	> Летели 2 крокодила, один зеленый, второй налево. Как зовут бабушку дворника? > OCSP - это протокол для получения ответов о валидности сертификата с центра > сертификации. > По-нормальному, это когда есть двухступенчатая инфраструктура PKI. У тебя есть корневой > и промежуточный ЦС. Корневой выдает сертификаты для других ЦС, а промежуточный > выдаёт сертификаты для пользователей (S/MIME) и серверов (TLS). Эта инфраструктура предполагает > развертывание маленького, но отказоустойчивого вебсервера, на базе которого обслуживаются > ответы CDP и AIA. > Клиент SSL (не в смысле почты, а тот кто производит проверку) должен > иметь возможность выкачать цепочку. Для этих задач у тебя в полях > сертификата пишутся URL-адреса к файликам CRT в формате DER. Так работает > расширение Authority Information Access (AIA). Технически ты можешь использовать для этого > 3 формата адресов http:// ldap:// на практике последний современные клиенты библиотеки > поймут http, ldap далеко не все. OCSP - описывается в расширении > AIA. Помимо этого у тебя есть CDP (CRL Distribution Point) который > отдаёт списки CRL (Certificate Revocation List) и они вообще в другом > расширении. Там опять же либо веб-сервер, либо ldap. > OCSP решает проблему больших CRL на промежуточном ЦС. Если для установки соединения, > для проверки сертификата необходимо выкачать файлик размером 10 мегабайт, то это > проблема. Сначала для решения этой проблемы придумывали костыли вроде "delta" CRL, > предлагая партиционировать CRL так чтобы список большой список отзыва перевыпускался редко > и кешировался надолго и был второй список отзыва с изменениями для > большого, которые потом будут применены в основной к дате и времени > перевыпуска основного. На развертываниях среднего размера это решает проблемы, на крупных > - нет. > OCSP это другой способ проверки отозванности. При правильно развертывании, когда OCSP-вебсервис > работает относительно отдельных файлов CRL и не дрюкает ЦС запросами, когда > на нем учтен возможный всплеск запросов при перевыпуске важного сертификата путем > балансировки нагрузки его вполне достаточно. OCSP бесполезен, если инфраструктура PKI > держит только лишь сертификаты с "проверкой подлинности сервера" и выпускает их > реже раза в месяц. Проще обойтись CRL. Если есть постоянный выпуск > сертификатов с "проверкой подлинности клиента" и их много, то возможно это > имеет смысл. > Ситуация усугубляется если у вас не хватает мощностей на OCSP-ответы после перевыпуска > и OCSP- единственный вариант для вашего ЦС (Let's Encrypt свалка). Вот > тут вам может понадобиться OCSP Staple. Изначально это придумано выросло из > костыля - кэширование OCSP-ответов на балансировщике нагрузки. Логика такая. ЦС разгрузили, > нагрузка пошла на OCSP. Вебсервер с OCSP разгрузили нагрузка теперь на > балансировщиках. Теперь давайте раздадим кэш на сами веб-сервера, на которых вешается > серверный сертификат. Пусть сам веб-сервер ходит и с определенной периодичностью получает > OCSP-ответы и прикрепляет их к TLS-сессии. Естественно, сертификат могут успеть отозвать, > а кэш может остаться и конечно эти ответы должны быть подписаны > на ЦС с указанием времени жизни. > Так вот, самое главное! > OCSP Stapling - это технология для веб-серверов, придуманная, в основном, для больших > дешевых ЦС и для сайтов, публикуемых сквозь CDN. При чем здесь > почта?! Никакой ПОЧТОВЫЙ сервер не обязан это делать, особенно когда речь > идет об MTA. Даже MUA может не суметь это проверить. Поддержка > кэширования ответов OCSP в Exim - это как купить автомобиль со > встроенной электроплитой. Никто не спорит, что электроплита это круто, она не > является важной и обязательной частью автомобиля. Postfix, как и другие нормальные > почтари не поддерживают это по принципиальным соображениям. > Желание пользоваться OCSP на почтаре берется у тех кто пользуется Let's Encrypt > и всякими флагами Must Staple. Тех кто не понимает, зачем это > всё нужно. На минуточку, вам почтовый клиент не обязан wildcard в > сертификате понимать, не то что OCSP Stapling. Хочешь нормальный сертификат для > почты? Иди покупай сертификат, да так чтобы в нем были и > AIA и CDP, чтобы и классический OCSP и CRL были доступны > одновременно. А если у тебя несколько имён или IP иди докупать > SAN. Это почта, дружок.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру