D
Можно запинить intermediate серт
У Let's Encrypt такое есть?
Size: a a a
2018 May 21
IC
У всех есть)
T
Ну это же способ предотвратить MITM.
Вообще-то нет. Это способ предотвратить обновление сертификата
D
вот только такоё же intermediate у любого клиента LE
IC
вот только такоё же intermediate у любого клиента LE
Ну так проверяем домен, для которого выдан сертификат, и все
T
Ну так проверяем домен, для которого выдан сертификат, и все
Тогда зачем пиннинг?
R
А зачем вам ssl pinning?
От митма на недоверенном роутере
IC
Тогда зачем пиннинг?
Чтобы быть уверенным, что вне зависимости от настроек системы и ее доверенных сертификатов никто не подменил сертификат
T
От митма на недоверенном роутере
От митма обычные цепочки доверия в ssl прекрасно защищают
IC
Удачи выпустить Let’s Encrypt-сертификат с тем же доменом :)
T
Чтобы быть уверенным, что вне зависимости от настроек системы и ее доверенных сертификатов никто не подменил сертификат
Ну если так, то да
IC
От митма обычные цепочки доверия в ssl прекрасно защищают
Нет, кучу раз уже было, что центры доверия делали сертификаты налево
T
Нет, кучу раз уже было, что центры доверия делали сертификаты налево
Вероятность это ниже чем вероятность, что ваш сервер не сломают и не утащат приватный ключ
T
Ну не ваш лично
T
Но большинства использующих пиннинг
R
От митма обычные цепочки доверия в ssl прекрасно защищают
Как это защитит от sslsplit/sslstrip?
IC
Вероятность это ниже чем вероятность, что ваш сервер не сломают и не утащат приватный ключ
Не согласен, зависит от ситуации
R
ну strip ок, допустим, а spli?
IC
Пиннинг делается за 5 минут, и уже получаем какую-никакую прибавку к безопасности, почему бы и не сделать?
R
Пиннинг делается за 5 минут, и уже получаем какую-никакую прибавку к безопасности, почему бы и не сделать?
За 2 минуты :D