Ни один УЦ не выдаст вам сертификат с большим сроком действия. Я бы сказал, тут причина на 95% в желании с гарантией брать с клиентов x долларов в год за один сертификат, а 5% – в усилении безопасности.

Отзыв не работает. CRL вообще никто не проверяет, а OCSP почти во всех приложениях носит рекомендательный характер (ошибка OCSP-сервера игнорируется). В случае компрометации корневых сертификатов, как мы помним, вообще приходится выпускать новые версии ПО с обновлениями встроенных блэклистов.

C PGP понятно, зачем нужен срок действия: отсутствие продления ключа означает, что с держателем главного приватного ключа что-то не так. Регулярное продление ключа работает как свидетельство канарейки «со мной всё хорошо». А SSL — да, отдельный разговор.

По-моему, были какие-то проекты по привязыванию доверия к SSL-сертификатам через PGP. В простейшем случае админ сайта мог бы вешать текущие SSL-отпечатки сайта на свой PGP-ключ, который пользователи сайта время от времени обновляют с серверов ключей (схема неидеальна, но это просто как пример).

P.S. poptalk, ну вот зачем стёрли название топика при наборе поста? Оно же там не зря было в теле документа.

sentaus

Я бы сказал, тут причина на 95% в желании с гарантией брать с клиентов x долларов в год за один сертификат, а 5% – в усилении безопасности.

Я как чувствовал, что дело не в безопасности, а в чём-то другом. :)

SATtva

Отзыв не работает.

Так надо сделать его работающим. Сейчас компьютеры почти постоянно подключены к интернету и p2p-сети развиты. Если вы не получили отзыв, значит его не существует.

pgprubot

Регулярное продление ключа работает как свидетельство канарейки «со мной всё хорошо».

Чтобы проверить, что владелец сертификата жив?

poptalk, ну вот зачем стёрли название топика при наборе поста? Оно же там не зря было в теле документа.

Я не стирал. Или не заметил. В любом случае, я не специально. Его можно восстановить?

— Интернет небезопасен.
— Так надо сделать его безопасным.

Спасибо, кэп.

Спасибо, кэп.

Чем чаще пользователи будут отзывать, тем больше стимулов у программистов и администраторов довести эту систему до ума. Типичный порочный круг.

Регулярное продление ключа работает как свидетельство канарейки «со мной всё хорошо».

Вы имели в виду Can you extend the expiration date of an already expired GPG key??

Кажется, я нашёл ситуацию, когда срок действия даёт преимущество. Он даёт преимущество, если злоумышленник "медленный".

Допустим, Алиса потеряла носитель информации с приватным ключом. У Алисы не осталось копий или отзывающих сертификатов. Носитель провалялся год, потом его нашёл Мэллори. Если срок действия сертификата был год, то Мэллори не сможет навредить.

Однако, скорее всего, за этот год Алиса уже раздала свой новый сертификат всем, кто имел её старый сертификат. В общем, вероятность есть, но маленькая.

Допустим, Алиса потеряла носитель информации с приватным ключом. У Алисы не осталось копий или отзывающих сертификатов. Носитель провалялся год, потом его нашёл Мэллори. Если срок действия сертификата был год, то Мэллори не сможет навредить.

В случае с SSL вариант, пожалуй, не очень вероятный.

Это как частный случай. Более распространённые варианты:

• Болен и недееспособен, чтоб выходить в интернет.
• Не пользуется сетью по иным причинам.
• Сидит в тюрьме, СИЗО, в подвале у похитителей или ещё где-то.
• Перестал пользоваться своим ключом и забыл про него.
• Потерял доступ к приватной части ключа.

Вверху окна редактиврования было написано

==Зачем нужен срок действия сертификата?==

Вам — нет, только модераторам.

Да.

В случае PGP Мэллори сможет изменить срок действия ключа, так что у Алисы не будет никакого преимущества перед Мэллори (если только она где-то клятвенно не пообещала не продлевать ключ дольше какого-то срока, разослав соответствующее сообщение всем своим абонентам). Либо Алиса находит копию приватного ключа или сертификат отзыва, либо всё — одним только PGP она не сможет доказать ничего, она теперь уравнена в правах с посторонними. То, что она когда-то ранее имела доступ к PGP-ключу, ей ничем не поможет. Когда-то здесь был пост с идеей отзыва ключа в будущем, но если вдуматься, ключ-revoker как раз решает эту проблему.

В случае PGP Мэллори сможет изменить срок действия ключа, так что у Алисы не будет никакого преимущества перед Мэллори

То есть устанавливать срок действия сертификата PGP — это змеиное масло. :)

Вы вырываете одну фразу и делаете из неё далеко идущие выводы. Как было сказано выше, у ограничения срока действия есть нормальные легитимные применения, в частности, возможность показать, что данным ключом больше не пользуются. Представьте, нашли Вы на сервере чей-то ключ, а человек к этому времени уже вообще не применяет PGP. Если ключ истёк, то будет очевидно, что шифровать письмо для этого получателя нет никакого смысла.

В то же время, тут ситуация та же, что и с сертификатами отзыва. Технически, у противника существует возможность заблокировать получение Вами отозванной или, напротив, пролонгированной версии ключа (достаточно MITM, чтобы срезать с ключа определённую подпись).

Одно время назад тут в красках расписывалась подобная атака.

P.S. SSL сертификаты не нужны, это скоро станет полным атавизмом. В сетях будущего шифрование и авторизация будет заложена в уровень протокола. Скрытые сервисы Tor'а уже сейчас успешно обходятся без SSL, причём они лучше защищены от расшифровки и подмен, чем стандартный SSL.

Вверху окна редактиврования было написано

Зачем нужен срок действия сертификата?

Создал ещё одну тему. В окне редактирования пусто.

poptalk, /comment93787.