![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
vitus_wagnerНу почему мы испугались сунуться в OCSP три года назад, когда начинали работу с ГОСТами в OpenSSL?
Там, что примечательно, в протоколе НИЧЕГО менять не надо для того чтобы перейти на ГОСТовские алгоритмы везде, кроме идентификации респондера по отпечатку ключа (в этом месте явно прописан SHA-1). Возможно, что и это место скоро подправят, особенно если китайцы таки предъявят рабочий генератор коллизий для SHA-1, как это случилось уже с MD5. Но этот метод в любом случае необязательный и по умолчанию выключен.
Исправить работу openssl ocsp в режиме сервера, чтобы оно корректно генерировало подпись по ГОСТ заняло у меня минут пятнадцать (в патченной 0.9.8). Подпись клиентского запроса вроде исправил, но проверить до ухода с работы не успел, поскольку Игус поставил задачу в пятницу в пять часов вечера. А отцы 8-месячных младенцев редко засиживаются на работе до ночи. Особенно если мать означенного младенца сидит за соседним монитором и домой планируется ехать вместе.
Если бы мы занялись OCSP в параллель с PKCS#7 и TLS, у нас бы давно уже был бы ГОСТовский OCSP в upstream CVS. Еще в рамках проекта 1 (который без TLS). А теперь придется немножко отдельный патч пропихивать.
Но почему-то недавно народ массово OCSP заинтересовался. Ладно наши клиенты. В Apache 2.2.7 планируется включить функциональность проверки клиентских сертификатов по OCSP. Что-то последнее время всех CRL-и устраивать перестали.
Там, что примечательно, в протоколе НИЧЕГО менять не надо для того чтобы перейти на ГОСТовские алгоритмы везде, кроме идентификации респондера по отпечатку ключа (в этом месте явно прописан SHA-1). Возможно, что и это место скоро подправят, особенно если китайцы таки предъявят рабочий генератор коллизий для SHA-1, как это случилось уже с MD5. Но этот метод в любом случае необязательный и по умолчанию выключен.
Исправить работу openssl ocsp в режиме сервера, чтобы оно корректно генерировало подпись по ГОСТ заняло у меня минут пятнадцать (в патченной 0.9.8). Подпись клиентского запроса вроде исправил, но проверить до ухода с работы не успел, поскольку Игус поставил задачу в пятницу в пять часов вечера. А отцы 8-месячных младенцев редко засиживаются на работе до ночи. Особенно если мать означенного младенца сидит за соседним монитором и домой планируется ехать вместе.
Если бы мы занялись OCSP в параллель с PKCS#7 и TLS, у нас бы давно уже был бы ГОСТовский OCSP в upstream CVS. Еще в рамках проекта 1 (который без TLS). А теперь придется немножко отдельный патч пропихивать.
Но почему-то недавно народ массово OCSP заинтересовался. Ладно наши клиенты. В Apache 2.2.7 планируется включить функциональность проверки клиентских сертификатов по OCSP. Что-то последнее время всех CRL-и устраивать перестали.
