From 89bd1f77c0a1cacbbe30d3ab00ae0045c3a873de Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 1 Jun 2020 10:39:01 +0300
Subject: [PATCH] =?utf8?q?=D0=A1=D0=BB=D0=BE=D0=BC=D0=B0=D0=BD=D0=BD=D1=8B?=
 =?utf8?q?=D0=B5=20=D1=86=D0=B5=D0=BF=D0=BE=D1=87=D0=BA=D0=B8=20=D0=B2?=
 =?utf8?q?=D0=B0=D0=BB=D0=B8=D0=B4=D0=B0=D1=86=D0=B8=D0=B8=20X.509=20?=
 =?utf8?q?=D1=81=D0=B5=D1=80=D1=82=D0=B8=D1=84=D0=B8=D0=BA=D0=B0=D1=82?=
 =?utf8?q?=D0=BE=D0=B2=20=D0=B2=20OpenSSL/GnuTLS?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

https://www.opennet.ru/opennews/art.shtml?num=53061
В комментариях некоторые считают что мол это криворукие GnuTLS. Кто-то
считает что они плохие потому что не блюдут RFC. А вообще это как-раз
ярчайший пример того, что это проблема RFC, а не реализаций. На работе с
коллегой нам приходилось писать валидатор цепочек X.509. За годы работы
над УЦ -- это *самая* сложная задача. Причём, её сложность наверное
возрастает на порядок, если реализовывать поддержку CRL. Везде где CRL:
жди дичайших проблем. Разумный, вменяемый человек никогда в жизни не
смог бы придумать и считать всю эту X.509 проверку чем-то разумным и
адекватным. Проверка цепочек с CRL это реально тянет на какие-нибудь
научные диссертации, чтобы ещё и сделать это за вменяемое машинное
время. У меня очень очень большие сомнения что вообще хоть кто-то (и
речь про проприетарные коммерческие продукты) в этом мире реализовал всё
что описано хотя бы в RFC 5280.
-- 
2.50.0