> Для site2site туннелей это вообще идеальная штука. Для b2b тоже.Все зависит от необходимости уровня защиты сети, размера сети, похеризма и параноии...
Новомодные 32 байтовые ключи на элиптических кривых - это эквивалент 2048-3072бит RSA что не считается уже давно достаточным уровнем(после того, как гугля достигла квантумной супримаси).
>>Управлять nameless ключами - это вообще не серьезно...
> Ну да, ну да, SSH в интерпрайзе нет.
Не понял иронии... SSH поддерживает PKI, где можно создавать имеенованные сертификаты, которые хорошо видны в логах...
>> Передергивать конфиги на всех серваках при добавлении/удалении клиентов на большой сети - это просто дурдом.
> Hint: именно это самое делает OpenAccess, когда ты юзера блокируешь :D
Какой OpenAccess?
На серваках лежит только публичный ключ СА. Все. Все что подписанно им, - истина.
Никто ничего не передергивает/рестартует/добавляет/удаляет на серваках. Никахих добавлений в authorized_keys и их родствеников в других протоколах. Клиент присылает мне CSR, я его верифицирую через как миниум 3 независимых канала, подписываю его, и отправляю обратно CRT(или если ресурс очень важный, то из рук в руки под подпись). Теперь он может заходить туда где есть наш публичный СА и делать только то, что ему разрешили через principal(прописанный в сертификате) Никаких конектов к сервакам или мороки с деплоями (через стороний софт тем более). Единственное что должно быть на серваках - публичный СА ключ.
>> Плюс, нет верификации серверов и клиентов относительно СА, что есть потенциальный MITM
> Какой к чертям MITM? Если у тебя и
> клиент, и сервер, шарят ключи заранее по доверенному каналу, никакая валидация
> относительно CA не нужна, лол.
Такое впечатление, что мы с разных планет. Технология работает не только на просторах хттп.
Доверенный канал - это что ? гмэйл, яндекс? Может ssh ? И вы правда по телефону сравнивали фингерпринты? Со всеми сотнями серверов? Если есть канал, он может быть МИТМ. Если нет верификации ключей, то МИТМ можно организовать. Лолайте дальше ;)