From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 1 Jun 2020 07:39:01 +0000 (+0300)
Subject: Сломанные цепочки валидации X.509 сертификатов в OpenSSL/GnuTLS
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=89bd1f77c0a1cacbbe30d3ab00ae0045c3a873de;p=stargrave-blog.git

Сломанные цепочки валидации X.509 сертификатов в OpenSSL/GnuTLS

https://www.opennet.ru/opennews/art.shtml?num=53061
В комментариях некоторые считают что мол это криворукие GnuTLS. Кто-то
считает что они плохие потому что не блюдут RFC. А вообще это как-раз
ярчайший пример того, что это проблема RFC, а не реализаций. На работе с
коллегой нам приходилось писать валидатор цепочек X.509. За годы работы
над УЦ -- это *самая* сложная задача. Причём, её сложность наверное
возрастает на порядок, если реализовывать поддержку CRL. Везде где CRL:
жди дичайших проблем. Разумный, вменяемый человек никогда в жизни не
смог бы придумать и считать всю эту X.509 проверку чем-то разумным и
адекватным. Проверка цепочек с CRL это реально тянет на какие-нибудь
научные диссертации, чтобы ещё и сделать это за вменяемое машинное
время. У меня очень очень большие сомнения что вообще хоть кто-то (и
речь про проприетарные коммерческие продукты) в этом мире реализовал всё
что описано хотя бы в RFC 5280.
---