Nginx-ru mailing list archive (nginx-ru@sysoev.ru)
[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
Re: Mutual authentication средствами nginx
On 23.01.2014 17:32, Илья Шипицин wrote:
CRL это свойство удостоверяющего центра, выпустившего сертификат
клиента. в этом свойстве публикуется URL, по которому можно скачать
актуальный список отозванных сертификатов. или не скачать, если по
каким-то причинам адрес недоступен. посмотрите какой-нибудь корневой
сертификат, там есть параметр CDP (CRL distribution point), о нем речь
CRL в файлике - да, так делают, но это не общий случай. как файлик
узнает, что удостоверяющий центр отозвал очередной сертификат?
Спасибо, я знаю что такое CRL. Удостоверяющий центр мой собственный.
Если мы говорим про nginx - там есть директива ssl_crl для задания CRL.
[...]
Грубо говоря, Mutual authentication с помощью "магии"
превращает незащищенное http соединение в высокозащищенное
HTTPS соединение. А софт на backend`е об этом не должен знать,
точно так же как он не должен знать про особенности работы TCP
протокола или про нюансы маршрутизации IP пакетов в сетях Ethernet.
ох уж эти затейники "приложение не должно знать про маршрутизацию IP",
Приложение и не знает ничего про маршрутизацию IP.
Маршрутизация IP - это не его layer и не его задача.
обычно прятание технических подробностей за несколькими уровнями
абстракции приводит к запутанным ситуациям. не надо так делать
Про это надо говорить разработчикам TCP/IP, - там TCP - это именно что
абстракция, которая скрывает все подробности работы нижних уровней (IP).
[...]
--
Best regards,
Gena
_______________________________________________
nginx-ru mailing list
nginx-ru@xxxxxxxxx
http://mailman.nginx.org/mailman/listinfo/nginx-ru
| 
