Re: PKI self-service

To: debian-russian@lists.debian.org
Subject: Re: PKI self-service
From: Коротаев Руслан <subscribe@mail.kr.pp.ru>
Date: Thu, 15 Sep 2016 18:28:33 +0500
Message-id: <[🔎] 20160915132833.GA2863@debian>
Mail-followup-to: debian-russian@lists.debian.org
In-reply-to: <[🔎] CACz2Q8F1Luye_21ye4wA-hYgMxSAnKOFf+BeYqoX--Hq=atqVA@mail.gmail.com>
References: <[🔎] CACz2Q8G6xGQG_CPR88Y_LXiNsTc72pF0_fC7vjtp1Z3Lo0vsNQ@mail.gmail.com> <[🔎] 876b4bf4-f9a3-bc97-a137-c591a5328d46@gmail.com> <[🔎] CACz2Q8F+3ZJAeqiTOEZ+10tMjWN8Zjd-a1n77xeRkGv67isg9g@mail.gmail.com> <[🔎] 20160915090433.55a11d63@fafnir.local.vm> <[🔎] CACz2Q8F1Luye_21ye4wA-hYgMxSAnKOFf+BeYqoX--Hq=atqVA@mail.gmail.com>

В сообщении от [Чт 2016-09-15 12:53 +0300]
Bogdan <bogdar@gmail.com> пишет:

> Доступные мне протоколы авторизации позволяют передавать только плейнтекст,
> либо заведомо уязвимые хэши паролей (md5 или ntlm) поверх TLS-сессии.
> Защищенность такой сессии зависит исключительно от корректности настройки
> (принудительная проверка "моего" CA) на стороне клиента, который будет
> выполнять настройки подключения сам. Honeypot и/или MitM  технически просты и
> достаточно вероятны в силу передачи данных по незащищенной и неконтролируемой
> среде. Я хочу полностью отказаться от такого типа авторизации в сервисе и
> перейти на авторизацию с использованием PKI. Вероятность успешного MitM/
> honeypot для веб-сайта раздающего сертификаты существенно меньше, чем для
> целевого сервиса.

Вы опасаетесь что с помощью MitM взломают TLS-сессию и поэтому хотите
авторизацию по сертификату клиента. Это маловероятно, конечно такое
решение надежно, но очень не удобно. Хотя если у вас клиенты технически
подкованные, например хранят сертификат и ключ на смарткарте, то да, а
так есть и другие варианты [1]. 

Кстати, вчера вы спрашивали насчет проверки отозванных сертификатов,
оказывается есть простой вариант OCSP-сервера [2] (CRL считается
устаревшим). Смысл такой, поднимаем OCSP-сервер например,
http://ocsp.example.com, прописываем его в сертификате и браузер сам
будет проверять отозванные сертификаты, детали здесь [3]. Причем
OCSP-ответы не обязательно подписывать тем же ключом что и сертификат,
можно выписать дополнительный сертификат специально для OCSP. То есть
центр сертификации может (или должен) быть не подключенным к сети, а
работу с OCSP можно доверить другой организации.

Однако, это всё типовые решения, вам судя по всему они не подходят, у
вас какой-то интересный сервис, если вы опишите общую архитектуру или
поставленную задачу, тогда и ответы могут быть поточнее.

[1]: https://habrahabr.ru/company/dataart/blog/262817/
[2]: http://backreference.org/2010/05/09/ocsp-verification-with-openssl/
[3]: https://jamielinux.com/docs/openssl-certificate-authority/online-certificate-status-protocol.html

-- 
Коротаев Руслан
https://blog.kr.pp.ru

Reply to:

References:
- PKI self-service
  - From: Bogdan <bogdar@gmail.com>
- Re: PKI self-service
  - From: Tim Sattarov <stimur@gmail.com>
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>
- Re: PKI self-service
  - From: Victor Wagner <vitus@wagner.pp.ru>
- Re: PKI self-service
  - From: Bogdan <bogdar@gmail.com>

Prev by Date: Re: PKI self-service
Next by Date: ищу планировщик, todo-лист на замену BSD calendar
Previous by thread: Re: PKI self-service
Next by thread: Re: PKI self-service
Index(es):
- Date
- Thread