Re: Mutual authentication средствами nginx

[Gena Makhomed]

On 23.01.2014 17:32, Илья Шипицин wrote:

> CRL это свойство удостоверяющего центра, выпустившего сертификат
> клиента. в этом свойстве публикуется URL, по которому можно скачать
> актуальный список отозванных сертификатов. или не скачать, если по
> каким-то причинам адрес недоступен. посмотрите какой-нибудь корневой
> сертификат, там есть параметр CDP (CRL distribution point), о нем речь
>
> CRL в файлике - да, так делают, но это не общий случай. как файлик
> узнает, что удостоверяющий центр отозвал очередной сертификат?

Спасибо, я знаю что такое CRL. Удостоверяющий центр мой собственный.
Если мы говорим про nginx - там есть директива ssl_crl для задания CRL.

[...]

>> Грубо говоря, Mutual authentication с помощью "магии"
>> превращает незащищенное http соединение в высокозащищенное
>> HTTPS соединение. А софт на backend`е об этом не должен знать,
>> точно так же как он не должен знать про особенности работы TCP
>> протокола или про нюансы маршрутизации IP пакетов в сетях Ethernet.
>
> ох уж эти затейники "приложение не должно знать про маршрутизацию IP",

Приложение и не знает ничего про маршрутизацию IP.
Маршрутизация IP - это не его layer и не его задача.

> обычно прятание технических подробностей за несколькими уровнями
> абстракции приводит к запутанным ситуациям. не надо так делать

Про это надо говорить разработчикам TCP/IP, - там TCP - это именно что
абстракция, которая скрывает все подробности работы нижних уровней (IP).

[...]

-- 
Best regards,
  Gena