Ejabber и сертификат, Напомняне за бъдещето

Във връзка с въвеждането на криптиране в xmpp, се погрижих да променя двойката за криптиране, сертификата и да проверя сървъра си за съответствие с „текущия момент“, така да се каже.

Важно : в полетоDN на тема CN стойността трябва да е равна на домейна, а не на името на сървъра. Какво е коренно различно от https например. Тази е за спомен.

Смешно е, но останах с впечатлението, чевъзможната същност на случващото се:

  • накарайте хората дакупуват сертификати. Не, разбира се, докато можете да се задоволите с безплатно, нопринуда да се включите в нечие сертифициране ... Нещо намирисва на измамници.
  • вземете възможността да деактивирате всяка част от xmpp пространството. Който има CA може в крайна сметка да отмени сертификата. И временно блокиране. Все пак се блокират сметки, а защо не и да се изключат тези, които не са съгласни с единствените истински, да речем, демократични ценности.

Какво ме обърква:

  • IM Observatory е спокоен за алгоритмите за криптиране, дължината на ключа. Но самоподписаният сертификат е незабавно последван от „хвърляне“ от „A“ до „F“ според тяхната скала на европейски ценности: „Сертификатът не е надежден, оценката е ограничена до F“. Пренебрегване на доверието: А.” Алгоритмите не се интересуват, но използването на „правилния“ CA е супер важно, да, да.
  • Принуждаването да се използва услуга (в този случай сертифициране) от „правилните“ CA е досадно.
  • добре, сега ще "почистят" xmpp пространството от "неправилни" сертификати. Кой пречи след това също да се почисти и да се освободи? Или по друга причина. Какво... куп търговци решават кой може да изпраща съобщения до xmpp и кой не. Ще даваме ли поща и на „ефективни“ мениджъри?
  • бързане. Е, къде да карам?
  • защодезактивирайте тези, които не го правятпреминах към криптиране? Е, отбележете съобщенията, преминали през некриптирания канал.
  • сървърите не са готови, клиентите не са готови, инструкциите „плачеха“.
  • Какво по дяволите е всичко това? Не, модерно е, това е всичко. Ис изключение на „пръстите“ ?
  • представете си - утребаннат http. Остава само https...

Някакъв заговор. Но, да речем, ssmtp се справи бездиктовка на производителите на сертификати. Какво сега вместо туитър революциите ще правят бърборите? Като цяло нещо не ми харесва този процес ...