приласкайте свою паранойю

[llivejo]

...ПОТОМУ ЧТО ТЫ НЕ ШИФРУЕШЬ НИХЕРА,
ДАЖЕ ТАМ, ГДЕ МОЖЕШЬ И ЭТО ПРОСТО.
(c) arkanoid

Наконец-то собрался и возродил свой собственный центр сертификации, на основе tinyCA.

Слишком уж много развелось в хозяйстве самоподписанных SSL-сертификатов: для вики-вебсервера, для почтового сервера, для джаббер-сервера. Каждый надо проверять и разрешать исключения, на каждом клиенте. У некоторых уже успел кончиться срок действия, на такое новый firefox ругается особенно пугающе.

А теперь сгенерировал на 10 лет корневой сертификат и положил в надежном месте, установил на всех «моих» машинах. Пока подписал ключи всех SSL- и TLS-серверов, пока разбросал полученные серверные сертификаты по конфигам и хранилищам, — пару часов угробил. Зато теперь красота!

Приятным дополнением к припадку админского буйства стал клиентский почтовый сертификат, подписанный Verisign. Как-то давно я получил бесплатный персональный сертификат от Thawte, не очень качественный, без имени и фамилии, вида “Thawte Freemail Member <versus@suslika.net>”. Контора эта, точнее её Web-Of-Trust, благополучно закрывается с 16 ноября, зато уже прислала токен на получение аналогичного сертификата от Verisign, за который обычно дерут $20 в год.

Теперь письма буду подписывать настоящим именем и фамилией, если что - проверяйте красную печать на конвертике:

подробнее, PNG 83KB

Всё, на сегодня трудовой подвиг совершен. Пойду новости почитаю.

Comments

[alogic.livejournal.com]

А у меня есть gpg ключ. Не подойдёт?:)

[llivejo]

Подойдет, конечно. И у меня такой есть, тоже надо в ЖЖ выложить.

Вот только сертификат годится ещё и для подтверждения аутентичности моей переписки с любым новым корреспондентом, исчезает опасность перехвата или подмены моего GPG-ключа - я его fingerprint в подписи могу указывать, а адресат целостность моего письма сразу по сертификату Verisign может проверить.

[alogic.livejournal.com]

А точно сертификат у тебя украсть нельзя? GPG ключ тоже ведь можно подписывать у разных авторитетных людей и по этим подписям убеждаться, что он именно от того человека, который в нём записан.

[llivejo]

Стоп, стоп! Не вижу логической связки между двумя предложениями.

> А точно сертификат у тебя украсть нельзя?
Можно украсть. Точно так же как можно украсть приватную часть твоего GPG ключа, чтобы за тебя подписывать письма, только еще пасс-фразу придется заломать. Ну и у меня тоже пассфраза есть на приватной части сертификата.

> GPG ключ тоже ведь можно подписывать у разных авторитетных людей и по этим подписям убеждаться, что он именно от того человека, который в нём записан.

Да, можно считать что я подписываю свои письма GPG-ключом, который подписал Verisign. Большой авторитет :-) Плюс в том, что Verisign'овский публичный ключ уже есть по умолчанию в некоторых почтовых клиентах, а ключи тех, кто подписал твой GPG-ключ - нет.

Вообще, это просто разные способы реализации S/MIME. PGP и GPG к сертификатам тоже пришли в конце концов.

[alogic.livejournal.com]

Я ж не спорю, я спрашиваю:)

[llivejo]

так и запишем - для потока вопросов логические связки не нужны :-)

[alogic.livejournal.com]

Иногда людям просто так отвечать скучно:)

[llivejo]

спасибо за комментарии, захотелось написать пост про PGP и вообще шифрование

[alogic.livejournal.com]

Да, много необразованных ещё ходит. Я соприкоснулся с этой темой только недавно на конференции, где key-signing party устроили.

[llivejo]

нашел мануал как X.509 сертификаты загружать в PGP как ключи: pdf (61KB)

[alogic.livejournal.com]

В конце даже есть как в GnuPG это сделать. Спасибо.