![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
Mar. 25th, 2015
К вопросу о доверии корневым УЦ
Mar. 25th, 2015 10:14 amhttp://www.opennet.ru/opennews/art.shtml?num=41902
Вообще-то если оно предназначено только для доменов, зарегистрированных данной компанией, туда Name Constraints прописывать надо. Но похоже CNNIC этого не сделал.
Или нынешние браузеры на написанное большими буквами слово MUST в rfc5280 забивают и name constraints не проверяют?
Компания Google сообщила о выявлении в сети обманного TLS-сертификата, используемого в прокси-сервере для установки не вызывающих подозрений защищённых соединений с любыми серверами в сети. В том числе создание поддельных TLS-соединений зафиксировано для некоторых доменов Google.
В ходе разбирательства выяснилось, что китайский удостоверяющий центр CNNIC (China Internet Network Information Center) передал холдингу MCS промежуточный (вторичный) корневой сертификат, на условии его использования только для доменов, зарегистрированных данной компанией.
Вообще-то если оно предназначено только для доменов, зарегистрированных данной компанией, туда Name Constraints прописывать надо. Но похоже CNNIC этого не сделал.
Или нынешние браузеры на написанное большими буквами слово MUST в rfc5280 забивают и name constraints не проверяют?