Сообщение Re[2]: Почему ssh не использует УЦ? от 05.07.2021 8:24
Изменено 05.07.2021 8:24 vsb
Re[2]: Почему ssh не использует УЦ?
Здравствуйте, kov_serg, Вы писали:
_>А в чем собственно проблема?
Проблем, собственно, две. Первая это предотвращение MITM. Для этого нужно быть уверенным в том, что на том конце действительно сервер, а не злоумышленниц. В HTPS это решается с помощью УЦ. В SSH метод решения перекладывается на пользователя. Который в лучшем случае сверит отпечаток ключа с эталонным, полученным через тот же HTTPS, в худшем случае (думаю, это 90% программистов) вообще ни с чем сверять не будет. Вторая проблема это смена ключа при его компрометации, про это я написал в первом сообщении.
_>А в чем собственно проблема?
Проблем, собственно, две. Первая это предотвращение MITM. Для этого нужно быть уверенным в том, что на том конце действительно сервер, а не злоумышленниц. В HTPS это решается с помощью УЦ. В SSH метод решения перекладывается на пользователя. Который в лучшем случае сверит отпечаток ключа с эталонным, полученным через тот же HTTPS, в худшем случае (думаю, это 90% программистов) вообще ни с чем сверять не будет. Вторая проблема это смена ключа при его компрометации, про это я написал в первом сообщении.
Re[2]: Почему ssh не использует УЦ?
Здравствуйте, kov_serg, Вы писали:
_>А в чем собственно проблема?
Проблем, собственно, две. Первая это предотвращение MITM. Для этого нужно быть уверенным в том, что на том конце действительно сервер, а не злоумышленник. В HTPS это решается с помощью УЦ. В SSH метод решения перекладывается на пользователя. Который в лучшем случае сверит отпечаток ключа с эталонным, полученным через тот же HTTPS, в худшем случае (думаю, это 90% программистов) вообще ни с чем сверять не будет. Вторая проблема это смена ключа при его компрометации, про это я написал в первом сообщении.
_>А в чем собственно проблема?
Проблем, собственно, две. Первая это предотвращение MITM. Для этого нужно быть уверенным в том, что на том конце действительно сервер, а не злоумышленник. В HTPS это решается с помощью УЦ. В SSH метод решения перекладывается на пользователя. Который в лучшем случае сверит отпечаток ключа с эталонным, полученным через тот же HTTPS, в худшем случае (думаю, это 90% программистов) вообще ни с чем сверять не будет. Вторая проблема это смена ключа при его компрометации, про это я написал в первом сообщении.