On Mon, 02 Jun 2003 17:47:45 +0300
<CGatePro@mx.ru> (Alexander Lapshin) wrote:
> On 02.06.03 10:16, (Vladimir A. Butenko) wrote:
> >>>Ракетное топливо в колчистве 15,000 тонн тоже полезная вещь. Но у
> >>меня >нет ракеты, вот беда. Посмотрите еще раз мой вопрос, пожалуйста
> >>- "какой >мало-мальски популярный майлер может аутентифицироваться
> >>сертификатом"?
> >> Netscape/Mozilla, Outlook достаточно популярные?
> >Netscape/Mozilla - нет. Outlook - да. Но -
> Mozilla умеет.
Речь шла о "достаточно популярных".
> Я сейчас именно так и работаю с office.ru. Авторизируюсь
> именно по сертификатам, никаких паролей не ввожу. Проверено. Netscape не
> испытывал, но думаю, что проблем быть тоже не должно.
> Imho Mozilla/Netscape - самая лучшая/правильная реализация работы с
> сертификатами.
Это очень хорошо. "маленькая проблемы":
а) кто сказал, что все клиенты воспринимают сервер не как "anonymous" server (который запрашивать сертификаты не имеет права)? б) кто сказал, что все клиенты правильно отработают запрос сертификата? в) кто сказал, что авторизация по сертификатам хоть насколько-то секурна?
По последнему пункту: сертификаты на писюках защищены теми же паролями.
Взломать сервер (в котором есть хоть какие-то защиты от подбора паролей)
несколько сложнее, чем взломать certificate store на Вашей workstation
(хотя, конечно, для этого ее надо сначала украсть - но не в случае офисной
workstation).
> >> Аутенификация по сертификатам необходима не только клиент-сервер,
> >>но и сервер-сервер.
> >И какие сервера умеют это делать? И где стандарт для этого в SMTP AUTH?
> Sendmail например.
> http://www.sendmail.org/~ca/email/starttls.html
> ftp://ftp.isi.edu/in-notes/rfc2246.txt
Это просто ссылки на TLS и на какие-то конфиги sendmail. Дело не в этом. А в
том - где стандарты на то, какие сертификаты должны использоваться. Ну,
например - какой должен быть Subject у сертификата для юзера
vasya@domain.com?
А какой - у сервера, который может мне прислать майл?
Заметим, что серверы как раз аутентифицировать по сертификату совсем уже бессмыслено - по IP адресу много более надежно.
> --
> (c)ALex
>
>
> ##################################################################
> Вы получили это сообщение потому, что подписаны на список рассылки
> <CGatePro@mx.ru>.
>
> Чтобы отписаться, отправьте сообщение на адрес <CGatePro-off@mx.ru>
> Чтобы переключиться в режим дайджеста - mailto:<CGatePro-digest@mx.ru>
> Чтобы переключиться в индексный режим - mailto:<CGatePro-index@mx.ru>
> Для административных запросов адрес <CGatePro-request@mx.ru>
>
>
>
Sincerely,
Vladimir
Получено Mon Jun 02 16:27:11 2003
Этот архив был сгенерирован hypermail 2.1.8 : Fri 24 Apr 2015 - 16:12:38 MSK