ssl client troubles
Andrey Y. Ostanovsky
andrey at ostanovsky.spb.ru
Tue Aug 8 18:42:26 MSD 2006
Igor Sysoev wrote:
>> Предлагается по строчкам такого типа, которые могут содержать
>> произвольный набор символов, делать фильтрацию клиента?
>> А нельзя ли там ловить что-то более формализованное в длине и формате, а
>> значит - удобное для манипуляции? Например:
>> X509v3 Subject Key Identifier:
>>
>> B0:46:63:B7:CB:AF:E7:EC:7F:AE:06:B8:68:12:87:65:9D:47:39:66
> Можно, например, serial.
Для унификации безобразия, т.е., поддержки crl листов "как в апаче",
конечно лучше иметь возможность оперировать с листом исключенных
сериалов. Хотя, при ближайшем рассмотрении - все это (и DN и serial)
настолько неоднозначно и малопригодно для работы.:) При определенных
настройках конфигурации openssl можно для одного и того же DN
генерировать разные сертификаты (unique_subject = no). Кого мы при этом
будем фильтровать по DN? Всю группу, а не один сертификат. Сериалы -
во-первых, при генерации их вообще от фонаря можно выставлять,
во-вторых, если кто-то генерирует от нашего авторити свои сертификаты -
то их сериалов мы, естественно, не знаем и в лист исключений вставить не
можем. Поскольку в штатно генерируемом crl нет никаких данных о DN - то,
при совпадении сериалов, мы тоже будем неизвестно кого фильтровать.
Таким образом, можно смело сказать, что ни один из вышеперечисленных
механизмов не гарантирует нам защиты от невалидных сертификатов, в
особенности тех, про которые мы не знаем. Но, поскольку в апаче есть
механизм исключения по сериалам и об этом известно начальству - оно
требует "чтобы было как в апаче". Это я к тому, что хорошо бы иметь тот
же сериал в качестве переменной, чтобы была возможность фильтровать по
нему. От автоматической обработки crl-листов я как-нибудь попробую
отбиться.:)
--
Best regards, Andrey Y. Ostanovsky
St. Petersburg
More information about the nginx-ru
mailing list