RS
яббло, например, в ios 14 выкатывать начали, а ведроид так давно заявлял (не знаю, правда, как оно по вендорам поддержано в итоге)
Size: a a a
2020 July 10
RS
А там не поднять?
там поднять. но для tls в сертификате у тебя есть имя, а когда клиент его не знает - он будет доверять всем сертификам подряд
RS
и нужен либо механизм сообщения клиенту пабличной части серта/её фингерпринта, либо хотя бы имя чтобы он мог по обычной цепочке доверия немного успокоить себя иллюзией безопасности
KB
митм то конечно же не перехватит и не подставит своё? :)
RS
митм то конечно же не перехватит и не подставит своё? :)
сложный вопрос, опирающийся на наличие рутовых CA на клиентской системе которыми можно было бы проверить сертификат
KB
через letsencrypt не прокатит? :)
RS
через letsencrypt не прокатит? :)
что именно?
RS
есть rfc8310 на почитать, там это немного разобрано, но рекомендаций для автоматической выдачи нет
RS
а нагуливается только прописывание нужных записей в домен, а как сообщить в каком домене искать? или типичные клиенты пойдут искать в search names (пусть и несекурно, но) выданные по dhcp?
KB
вот и инетресно, почему это же самое не сможет сделать митм
KB
ну на нормальной сети понятно не сможет
BL
ну на нормальной сети понятно не сможет
там и DoT не нужен
KB
если dhcp-relay пойдёт как-то отдельно
KB
там и DoT не нужен
почему не нужен? а если митм хочет чтобы всё было зелёненькое у жертвы?)
BL
мы же говорим про нормальные сети, где канал между клиентом и сервером как-то ещё защищен?
BL
или я чего не понимаю?
RS
мы же говорим про нормальные сети, где канал между клиентом и сервером как-то ещё защищен?
ну что такое нормальные, наверное далеко ненулевое количество ШПД работают не в vlan-per-customer, а с шаредом и pppoe/pptp/etc внутри
RS
вот и инетресно, почему это же самое не сможет сделать митм
вот потому и вопрос мой
RS
dane/dnssec на клиентском ресолвере частично могло бы решить эту проблему если бы завязать выдачу имени с его помощью на обратную зону - но этого, похоже, никто и не собирается делать и поддерживать
но да, от подмены выдаваемых с dhcp адресов это не защищает
но да, от подмены выдаваемых с dhcp адресов это не защищает
BL
там поднять. но для tls в сертификате у тебя есть имя, а когда клиент его не знает - он будет доверять всем сертификам подряд
даже подписанные недоверенными CA?