Легенды и мифы ИТ #2: PKI edition.

image

Внимание: мой новый RSS-Feed: http://feed.feedcat.net/815939

Измените свою подписку, пожалуйста.

 

Кстати, а знаете ли Вы, что на самом деле делает опция “Allow private key to be exported” или “Prompt the user during enrollment and require user input when the private key is used” в шаблоне сертификата? Делают ли они использвоание сертификата более безопасным или нет?

Я знаю как минимум пару людей, которые точно знают ответ на этот вопрос. К сожалению, я не так давно вышел из пелены невежественности, но лучше ж поздно, чем слишком поздно Winking smile В общем, короткий ответ: нет. CA не имеет ни малейшей возможности заставить клиента вести себя таким образом, как предполагает название этой настройки. В шаблоне содержатся лишь рекомендации клиентской части не экспортировать закрытый ключ.

Потому в Windows 2003 экспортировать такой сертификат через GUI было нельзя, а вот некоторые сторонние утилиты это сделать могли. Впрочем и с помощью стандартных утилит некоторые типы сертификатов были легко экспортируемы, если верить документации. А вот начиная с Windows 2008 (ну или Windows 7) сделали “улучшение” и теперь можно экспортровать неэкспортируемое.

Так что смысла в этой опции мало: только как защита от дурака.

Будьте осторожны и старайтесь задумываться над тем, что порой кажется очевидным. =)

Реклама

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s