Re: lug-bg: Qmail+smtp-tls.patch i CRL

[Vesselin Kolev <vlk@xxxxxxxxxxxxxxxxx>]

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

Kostadin Todorov Karaivanov wrote:

| do tuk OK samo 4e spored mene CRL moja dade edna (makar i imaginerna)
| dopylnitelna sigurnost osobenno ako osnovnoto mi zanqtie ne e da
| gledam dali wsi4ki sertifikati koito sam ukazal wse oshte sa walidni
| spored CA koqto izpolzwam
|
|
Днес не ми е ден за заяждания, но наистина вече не издържам...

Обяснявам за последен път и след това включвам политика DROP на темата.

Никакъв академизъм няма в това, което казах. И нещата опират до принципно
разбиране, а не до технически детайли в конфигурацията, които могат да се
направят за минути.

CRL листа служи за да каже кои сертификати са отменени. Това става като се
упоменат сериийните номера на сертификатите, тази информация се хешира и
на хеша се направи подпис със частния ключ на CA. Дотук с техническите
особености. Сега с нещата, които не знам защо или не се разбират, или не
се обаясняват добре или изобщо никой не му пука за тях.

Обяснявам. Ако ти пуснеш твоя SMTP да релейва въз основата на сертификат,
който е подписан от дадена CA, макар да имаш CRL листа, няма никаква
гаранция, че утре някой с валиден сертификат няма да пусне през теб 100 MB
вулгарен спам. И какво ще направиш? Ще се обадиш в CA да генерира нов CRL
и да отмени сертификата, защото собственика му е спамер? Ако получиш някакъв
отговор от CA той почти сигурно ще съдържа адресирани пожелания до твои
много близки роднини.

От друга страна, ако се беше зачел, щеше да видиш, че CRL сертификата е
сертфикат с период на валидниост. Примерно 30 дни. През тези 30 дни CA може
да отмени ревокирането на даден сертификат и да пусне нов CRL, който ти няма
да имаш в момента и ще "режеш" от услугата редовен клиент. Ще ти се
наложи да
теглиш до несвяст CRL та с wget и да рестартираш всеки път демона при
новодошъл
CRL. Тази работа не усещаш ли, че не е читава?

Ако толкова много искаш да ползваш CRL и да следиш реалния списък с отменени
сертификати, ще ти трябва утилка, дето
да да накара SMTP сървъра да си говори с OCSP респондера на CA, ако тя
има такъв.
Веселите моменти и тук са много. Долколкото OCSP е Online Certificate
Status Protocol
е ясно, че ако нямаш връзка към респондера на CA няма да имаш валидиране
дори на
валидни сертификати. Засега никой не се е затичал да ползва OCPS
респондер за STMP
сървър поради понятни причини.

Накрая обяснявам защо и кога се ползва CRL. CRL се ползва при услуга, на
която
трябва да се каже "допускай всички сертификати, които не се изтекли и не са
упоменати в CRL". Забележи, че при SMTP трябва да следваш политика
"пропускай
само сертификатите на клиенти на SMTP услугата". Теб няма да те
интересува дали
някоя CA ги е отменила, защото тя може да ги е отменила поради причини
свързани
с нейния правилник, а не защото сертификата е компрометиран например. От
друга
страна, ако ти си си сам CA, защо ти е да генерираш CA лист, като можеш
направо
автоматично да слагаш и махаш сертификати в access листа?

Така, че си намери свестен patch за qmail дето да ти дава възможност да
менажираш
без да спираш SMTP-то големи списъци със subject-и на сертификати и не
се товари
с недействащи решения. Примерно при Sendmail можеш да правиш този списъл
чрез
BerkleyDB в хеш формат и менежирането на листа за достъп изобщо не изисква
рестартиране на демона. Сигурен съм, че подобни решения има и за qmail!
Просто
провери...

~   Весо
-----BEGIN PGP SIGNATURE-----
Version: GnuPG v1.2.1 (GNU/Linux)
Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org

iD8DBQE/om6B+48lZPXaa+MRAvJTAJ4w3dX5Agy5drWFGimDmOU1PYVUXACfXGQ9
FKHwgGniiCAHalnbhnurj+g=
=LdxR
-----END PGP SIGNATURE-----


============================================================================
A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers).
http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora
To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html
============================================================================