А откуда информация, что браузеры их не поддерживают?
Да я тут сгенерил сертификат, развернул его на nginx, и FF, Chrome и IE с ним не заработали, а Konqueror, rekonq и qupzilla заработали. Отсюда я этот вывод и сделал. Хотя, один момент я наверно всё-таки упустил.
Главная проблема была в том, что долбаный фитон (по крайней мере, 2.7), судя по всему, до сих пор не умеет работать с ЭК и никогда и не научится, а на тройку переписывать ради ЭК никто ничего не будет. Так что даже если бы сертификат был рабочим и поддерживаемым фаерфоксом, я бы этого все равно не увидел :(
sentaus, колись, как ты сгенерировал сертификаты без CN?
[telepate mode]
Уж очень презрительно-утилитарный подход к своей задаче и инструментам её решения.
Делают наверное какую-нибудь специфическую проприетарную железку по кем-то спущенному техзаданию "лишь бы завелось", но "должно работать в установленный срок" и "заказчики требуют".
А здесь большинству пофиг и неинтересно.
[/telepate mode]
У меня на фаерфоксе почему-то не работает secp256k1
Судя по документам, которые выпускает то НИСТ, то АНБ, то Цертиком, то торговая палата США (они ещё между собой не разобрались и не переделили все патенты, в России хоть единый стандарт) в ECC ещё м.б. куча несовместимых между собой стандартов и реализаций. Поэтому на эти грабли добровольно никто не спешит или делают коммерческую разработку с нуля под заказ и пропихивают свой вариант стандарта в какой-то сфере индустрии (в "умных" электросчётчиках, например).
Про зачем я писал выше – Pyload. Гугл в помощь. Ну и хотелось бы использовать это в других местах, на dd-wrt например, но, боюсь, не заведется.
Понял :) Необоснованные упрёки снимаются.
Правда, мало кому интересно ECC, а специально проверять его настройку желания нет. Если бы с самого начала подробно указали задачу, где это перспективно, то кто-то бы взял на заметку, может бы тоже заинтересовался. Не все же сталкиваются с Pyload и микрожелезками.
Pyload – всего лишь очередная прога, имеющая в составе веб-интерфейс, а микрожелезки от рутера и меньше я ужеупоминал. Вопрос я задал потому, что "оно же по идее должно работать – так какого хрена оно не работает?".
Так оно работает, если вы например сами для себя напишете прогу с этой (одинаковой) версией либы и в качестве клиента, и в качестве сервера. И сами будете отслеживать совместимость. Т.е. в каких то частных случаях, где не возникает проблем совместимости со сторонними приложениями это и используется. То, что не работают реализации стандартов и сертификаты общего назначения — другой вопрос.
Тот же гугл, может к примеру настроить свои серверы на ECC-сертификаты, сам выпустить браузер, сам себе выступить центром сертификации. А другим браузерам и приложениям отдавать соединения по сертификатам старого типа.
Первым коммерческим центром по выдаче ECC-сертификатов стал Symantec в середине февраля 2013 года. Это они ещё только рекламную компанию проводят. И рассчитывают на гибридные решения — откат на старый тип сертификатов при неудаче в соединении.
>если вы например сами для себя напишете прогу с этой (одинаковой) версией либы и в качестве клиента, и в качестве сервера.
В реальности редко контролируется клиент и сервер, например, есть веб-сервер, который должен поддерживать все существующие браузеры, или хотя бы некоторые, если сервер в квартирной локалке.
Под "работать" я имел в виду массовую поддержку, экзотикой заниматься не хочу, если делать "падсибя", то можно будет сразу использовать, например, srp.
В сервере OpenSSL 0.9.8l 5 Nov 2009 – версия, вкомпиленная в последнюю версию pyopenssl.
Firefox 3 посылает вот что (дамп Wireshark):
Ответ:
Классический пример из реального мира – программа А зависит от библиотеки Б, которая зависит от библиотеки В, которая заброшена 2 года назад, содержит сишный код и для винды есть в бинарниках, сделаных хз кем и хз когда. Новые версии библиотек появляются/начинают использоваться в библиотеках через время x, и так по цепочке. Для железа еще можно сделать поправку на сложность апдейтов и нежелание выбрасывать ее, пока она работает. Сколько лет не обновлялась dd-wrt? И станет ли кто-то перевыпускать прошивку ради апдейта openssl?
Поэтому поддержкой ЭК надо заняться прямо сегодня, чтобы лет через 5 она стала повсеместной и попытка подключить ЭК с "щас сгенерируем и заменим 2 файла" не превращалась в траходром с беганьем по всему интернету.
комментариев: 1060 документов: 16 редакций: 32
Да я тут сгенерил сертификат, развернул его на nginx, и FF, Chrome и IE с ним не заработали, а Konqueror, rekonq и qupzilla заработали. Отсюда я этот вывод и сделал. Хотя, один момент я наверно всё-таки упустил.
Это и называется "сам спросил – сам ответь и другим расскажи". Нет уж, спасибо.
И замечания мне могут делать только те, кто могут сделать лучше.
sentaus, а энджинкс ЭК поддерживает? Как на нем протестировать сертификат?
комментариев: 1060 документов: 16 редакций: 32
Выбор эллиптической кривой.
Ды пожалуйста. Этот даже FF и Chrome распознают.
Сертификат:
Закрытый ключ:
Инициативность наказуема обязательностью исполнения. :)
Главная проблема была в том, что долбаный фитон (по крайней мере, 2.7), судя по всему, до сих пор не умеет работать с ЭК и никогда и не научится, а на тройку переписывать ради ЭК никто ничего не будет. Так что даже если бы сертификат был рабочим и поддерживаемым фаерфоксом, я бы этого все равно не увидел :(
sentaus, колись, как ты сгенерировал сертификаты без CN?
[tele]
openssl
[/tele]
И зачем вообще вам питон?
комментариев: 9796 документов: 488 редакций: 5664
[telepate mode]
Уж очень презрительно-утилитарный подход к своей задаче и инструментам её решения.
Делают наверное какую-нибудь специфическую проприетарную железку по кем-то спущенному техзаданию "лишь бы завелось", но "должно работать в установленный срок" и "заказчики требуют".
А здесь большинству пофиг и неинтересно.
[/telepate mode]
Судя по документам, которые выпускает то НИСТ, то АНБ, то Цертиком, то торговая палата США (они ещё между собой не разобрались и не переделили все патенты, в России хоть единый стандарт) в ECC ещё м.б. куча несовместимых между собой стандартов и реализаций. Поэтому на эти грабли добровольно никто не спешит или делают коммерческую разработку с нуля под заказ и пропихивают свой вариант стандарта в какой-то сфере индустрии (в "умных" электросчётчиках, например).
Про зачем я писал выше – Pyload. Гугл в помощь. Ну и хотелось бы использовать это в других местах, на dd-wrt например, но, боюсь, не заведется.
secp521r1 ведь работает, в документе выше написано, что лис должен и 256 поддерживать (а других кривых на 256 в openssl нет).
комментариев: 9796 документов: 488 редакций: 5664
Понял :) Необоснованные упрёки снимаются.
Правда, мало кому интересно ECC, а специально проверять его настройку желания нет. Если бы с самого начала подробно указали задачу, где это перспективно, то кто-то бы взял на заметку, может бы тоже заинтересовался. Не все же сталкиваются с Pyload и микрожелезками.
комментариев: 9796 документов: 488 редакций: 5664
Так оно работает, если вы например сами для себя напишете прогу с этой (одинаковой) версией либы и в качестве клиента, и в качестве сервера. И сами будете отслеживать совместимость. Т.е. в каких то частных случаях, где не возникает проблем совместимости со сторонними приложениями это и используется. То, что не работают реализации стандартов и сертификаты общего назначения — другой вопрос.
Тот же гугл, может к примеру настроить свои серверы на ECC-сертификаты, сам выпустить браузер, сам себе выступить центром сертификации. А другим браузерам и приложениям отдавать соединения по сертификатам старого типа.
Первым коммерческим центром по выдаче ECC-сертификатов стал Symantec в середине февраля 2013 года. Это они ещё только рекламную компанию проводят. И рассчитывают на гибридные решения — откат на старый тип сертификатов при неудаче в соединении.
В реальности редко контролируется клиент и сервер, например, есть веб-сервер, который должен поддерживать все существующие браузеры, или хотя бы некоторые, если сервер в квартирной локалке.
Под "работать" я имел в виду массовую поддержку, экзотикой заниматься не хочу, если делать "падсибя", то можно будет сразу использовать, например, srp.
В сервере OpenSSL 0.9.8l 5 Nov 2009 – версия, вкомпиленная в последнюю версию pyopenssl.
Firefox 3 посылает вот что (дамп Wireshark):
Ответ:
Классический пример из реального мира – программа А зависит от библиотеки Б, которая зависит от библиотеки В, которая заброшена 2 года назад, содержит сишный код и для винды есть в бинарниках, сделаных хз кем и хз когда. Новые версии библиотек появляются/начинают использоваться в библиотеках через время x, и так по цепочке. Для железа еще можно сделать поправку на сложность апдейтов и нежелание выбрасывать ее, пока она работает. Сколько лет не обновлялась dd-wrt? И станет ли кто-то перевыпускать прошивку ради апдейта openssl?
Поэтому поддержкой ЭК надо заняться прямо сегодня, чтобы лет через 5 она стала повсеместной и попытка подключить ЭК с "щас сгенерируем и заменим 2 файла" не превращалась в траходром с беганьем по всему интернету.