RE: lug-bg: Qmail+smtp-tls.patch i CRL
- Subject: RE: lug-bg: Qmail+smtp-tls.patch i CRL
- From: "Kostadin Todorov Karaivanov" <larry@xxxxxxxxx>
- Date: Fri, 31 Oct 2003 14:34:51 +0200
- Importance: Normal
- Organization: Ministry of Finance
> -----Original Message-----
> -----BEGIN PGP SIGNED MESSAGE-----
> Hash: SHA1
>
> Kostadin Todorov Karaivanov wrote:
>
> | Zdrawej grupa, Edin ot mailovete w lista mi dade idej I se raztyrsih
> | za tls enavled smtp servers iz neta.... Situaciqta e slednata,
namerih
> | dosta info za tova kak se setypwa sendmail+tls, namerih I patch za
> | qmail za koito pishe 4e poddyrja I client auth sys x509 sertifikati.
> | Dotuk dobre.... Ta vyprosyt mi e "A kak se setypwat CRL-tata??" I za
> | sendmail I za qmail, neshto powe4e, ako setifikata na clienta e
> | listnat w CRL shte mu byde li otkazan RELAY ili kak/wo ?? Estesweno
> | vyprosyt mi moje da e dosta lame, ili dosta dale4 ot
dejstwitelnostta
> | zatowa moje da se posmeete za moq smetka :-)) Oste neshto, li4nite
mi
> | predpo4itaniq klonqt kym qmail (no flames pls), taka 4e shte se
radwam
> | ako nqkoi mi dade info po-specifi4no za nego.
> |
> |
> Нито qmail, нито Sendmail са направили нещо ново за X.509
> схемата. И двата MTA са само ползватели, макар да ползват в
> различна степен RFC документите по темата.
>
> Идеологията на проблема се състои в следното. Не е нужно да
> използваш CRL. Предостави си следната ситуация. CA с 3 милона
> сертификата и с 4000 отменени, които са в CRL файла. Тогава
> всички останали са дефакто потенциални ползватали на RELAY,
> ако в RELAY политиката е указано да се RELAY-ват всички
> валидни за дадена CA сертификати. Т.е. тук CRL не ти помага никак.
Tova mi e qsno samo4e az da re4em ne iskam wsi4ki podpisani ot dadeno CA
a samoi nqkoi, koito sam I konfiguriral kakto si kazal po-dolu
>
> Затова (примерно така е в Sendmail) се прави описание на
> всеки сертификат допуснат до RELAY. Възможно е ти да искаш да
> дадеш право на достъп само за някои подписани от дадена CA
> сертифкати. Описанието на сертификата се прави по LDAP
> форматни полета под формата на "дърво" на върха на който е
do tuk OK
samo 4e spored mene CRL moja dade edna (makar i imaginerna) dopylnitelna
sigurnost
osobenno ako osnovnoto mi zanqtie ne e da gledam dali wsi4ki sertifikati
koito sam
ukazal wse oshte sa walidni spored CA koqto izpolzwam
> CA. Можеш да правиш и релей на база самоподписан X.509, който
> да пазиш в хеш-хранилище.
>
> Изобщо, подходът с CRL носи малко ползи, особено ако ползваш
> външна CA. CA отменя сертификатите не по твое, а по свое
> усмотрение. Следователно външни CA никак не ти помагат при
A moje az da sym syglasen s politikata za revoke na CA ......
> контрола на достъпа. От друга страна можеш да синаправиш твоя
> CA и да си издаваш каквито искаш CRL листи, но това значи
> всички потребители да си издадат сертификати при теб, а да не
> могат да ползват външни.
>
Blagodarq za otgovora, no vyprosym mi ne beshe za polzi vs. nedostatyci
a za tova (makar I 4isto akademi4no) kak se pravi/configurira podobno
neshto.
Nadqwam se diskusitqta da prodylji :-))
> ~ Поздрави
> ~ Весо
> -----BEGIN PGP SIGNATURE-----
> Version: GnuPG v1.2.1 (GNU/Linux)
> Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org
>
> iD8DBQE/ojw++48lZPXaa+MRAkK3AJ0R3NiyQIJZGSJIn66jgoK1CWvuKACfbNHA
> 76FcG7sEUV46GHQeaY1HzTM=
> =FsQY
> -----END PGP SIGNATURE-----
>
>
>
========================================================================
====
> A mail-list of Linux Users Group - Bulgaria (bulgarian
> linuxers). http://www.linux-bulgaria.org - Hosted by Internet
> Group Ltd. - Stara Zagora To unsubscribe:
> http://www.linux-> bulgaria.org/public/mail_list.html
>
>
>
========================================================================
====
>
Kostadin Karaivanov
Senior System Administrator @ Ministry Of Finance
tel: +359 2 98592062
k.karaivanov@xxxxxxxxx
============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================
|