Re: lug-bg: Qmail+smtp-tls.patch i CRL

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Kostadin Todorov Karaivanov wrote:

| Zdrawej grupa, Edin ot mailovete w lista mi dade idej I se raztyrsih
| za tls enavled smtp servers iz neta.... Situaciqta e slednata,
| namerih dosta info za tova kak se setypwa sendmail+tls, namerih I
| patch za qmail za koito pishe 4e poddyrja I client auth sys x509
| sertifikati. Dotuk dobre.... Ta vyprosyt mi e "A kak se setypwat
| CRL-tata??" I za sendmail I za qmail, neshto powe4e, ako setifikata
| na clienta e listnat w CRL shte mu byde li otkazan RELAY ili kak/wo
| ?? Estesweno vyprosyt mi moje da e dosta lame, ili dosta dale4 ot
| dejstwitelnostta zatowa moje da se posmeete za moq smetka :-)) Oste
| neshto, li4nite mi predpo4itaniq klonqt kym qmail (no flames pls),
| taka 4e shte se radwam ako nqkoi mi dade info po-specifi4no za nego.
|
|
Нито qmail, нито Sendmail са направили нещо ново за X.509 схемата. И
двата MTA са само ползватели, макар да ползват в различна степен RFC
документите по темата.

Идеологията на проблема се състои в следното. Не е нужно да използваш
CRL. Предостави си следната ситуация. CA с 3 милона сертификата и с
4000 отменени, които са в CRL файла. Тогава всички останали са дефакто
потенциални ползватали на RELAY, ако в RELAY политиката е указано да
се RELAY-ват всички валидни за дадена CA сертификати. Т.е. тук CRL не
ти помага никак.

Затова (примерно така е в Sendmail) се прави описание на всеки сертификат
допуснат до RELAY. Възможно е ти да искаш да дадеш право на достъп само
за някои подписани от дадена CA сертифкати. Описанието на сертификата се
прави по LDAP форматни полета под формата на "дърво" на върха на който е
CA. Можеш да правиш и релей на база самоподписан X.509, който да пазиш в
хеш-хранилище.

Изобщо, подходът с CRL носи малко ползи, особено ако ползваш външна CA.
CA отменя сертификатите не по твое, а по свое усмотрение. Следователно
външни CA никак не ти помагат при контрола на достъпа. От друга страна
можеш да синаправиш твоя CA и да си издаваш каквито искаш CRL листи, но
това значи всички потребители да си издадат сертификати при теб, а да не
могат да ползват външни.

~  Поздрави
~    Весо
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/ojw++48lZPXaa+MRAkK3AJ0R3NiyQIJZGSJIn66jgoK1CWvuKACfbNHA
76FcG7sEUV46GHQeaY1HzTM=
=FsQY
-----END PGP SIGNATURE-----


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================