forum.opennet.ru

Составление сообщения

Исходное сообщение

"Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..."
Отправлено Гентушник, 14-Янв-20 20:29

> даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов.
Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" базе, нужно будет всё равно послать запрос OCSP и убедиться что полный хеш всё же совпадает.
Это конечно, в целом, сокращает количество запросов OCSP, но проблему атак на блокирование OCSP не решает (описана в новости).
Так же, небольшая часть данных всё равно будет утекать (по отозванным и "похожим" сертификатам).
Если же дополнительную проверку по OCSP не делать и верить урезанному списку наслово, то возможны ложные срабатывания. Будет забавно если кто-нибудь этим воспользуется и сделает сертификат с началом хеша как у google.com, а потом отзовёт его.

Исходное сообщение
"Mozilla внедряет CRLite для проверки проблемных TLS-сертифик..." Отправлено Гентушник, 14-Янв-20 20:29
> даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов. Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" базе, нужно будет всё равно послать запрос OCSP и убедиться что полный хеш всё же совпадает. Это конечно, в целом, сокращает количество запросов OCSP, но проблему атак на блокирование OCSP не решает (описана в новости). Так же, небольшая часть данных всё равно будет утекать (по отозванным и "похожим" сертификатам). Если же дополнительную проверку по OCSP не делать и верить урезанному списку наслово, то возможны ложные срабатывания. Будет забавно если кто-нибудь этим воспользуется и сделает сертификат с началом хеша как у google.com, а потом отзовёт его.

Ваше сообщение
Имя*:
EMail:	Для отправки ответов на email укажите знак ! перед адресом, например, !user@host.ru (!! - не показывать email). Более тонкая настройка отправки ответов производится в профиле зарегистрированного участника форума.
Заголовок*:
Сообщение*:	>> даже 32 (если уж учитывать возможность теста на ложные срабатывания) хеша этих сертификатов. > Но ведь в этом случае, если нашли начало хеша по локальной "урезанной" > базе, нужно будет всё равно послать запрос OCSP и убедиться что > полный хеш всё же совпадает. > Это конечно, в целом, сокращает количество запросов OCSP, но проблему атак на > блокирование OCSP не решает (описана в новости). > Так же, небольшая часть данных всё равно будет утекать (по отозванным и > "похожим" сертификатам). > Если же дополнительную проверку по OCSP не делать и верить урезанному списку > наслово, то возможны ложные срабатывания. Будет забавно если кто-нибудь этим воспользуется > и сделает сертификат с началом хеша как у google.com, а потом > отзовёт его.
	Введите код, изображенный на картинке:

При общении не допускается: неуважительное отношение к собеседнику, хамство, унизительное обращение, ненормативная лексика, переход на личности, агрессивное поведение, обесценивание собеседника, провоцирование флейма голословными и заведомо ложными заявлениями. Не отвечайте на сообщения, явно нарушающие правила - удаляются не только сами нарушения, но и все ответы на них. Лог модерирования.

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2024 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру