> -----Original Message----- > -----BEGIN PGP SIGNED MESSAGE----- > Hash: SHA1 > > Kostadin Todorov Karaivanov wrote: > > | Zdrawej grupa, Edin ot mailovete w lista mi dade idej I se raztyrsih
> | za tls enavled smtp servers iz neta.... Situaciqta e slednata, namerih > | dosta info za tova kak se setypwa sendmail+tls, namerih I patch za > | qmail za koito pishe 4e poddyrja I client auth sys x509 sertifikati. > | Dotuk dobre.... Ta vyprosyt mi e "A kak se setypwat CRL-tata??" I za > | sendmail I za qmail, neshto powe4e, ako setifikata na clienta e > | listnat w CRL shte mu byde li otkazan RELAY ili kak/wo ?? Estesweno > | vyprosyt mi moje da e dosta lame, ili dosta dale4 ot dejstwitelnostta > | zatowa moje da se posmeete za moq smetka :-)) Oste neshto, li4nite mi > | predpo4itaniq klonqt kym qmail (no flames pls), taka 4e shte se radwam > | ako nqkoi mi dade info po-specifi4no za nego. > | > | > Нито qmail, нито Sendmail са направили нещо ново за X.509 > схемата. И двата MTA са само ползватели, макар да ползват в > различна степен RFC документите по темата. > > Идеологията на проблема се състои в следното. Не е нужно да > използваш CRL. Предостави си следната ситуация. CA с 3 милона > сертификата и с 4000 отменени, които са в CRL файла. Тогава > всички останали са дефакто потенциални ползватали на RELAY, > ако в RELAY политиката е указано да се RELAY-ват всички > валидни за дадена CA сертификати. Т.е. тук CRL не ти помага никак. Tova mi e qsno samo4e az da re4em ne iskam wsi4ki podpisani ot dadeno CA a samoi nqkoi, koito sam I konfiguriral kakto si kazal po-dolu > > Затова (примерно така е в Sendmail) се прави описание на > всеки сертификат допуснат до RELAY. Възможно е ти да искаш да > дадеш право на достъп само за някои подписани от дадена CA > сертифкати. Описанието на сертификата се прави по LDAP > форматни полета под формата на "дърво" на върха на който е do tuk OK samo 4e spored mene CRL moja dade edna (makar i imaginerna) dopylnitelna sigurnost osobenno ako osnovnoto mi zanqtie ne e da gledam dali wsi4ki sertifikati koito sam ukazal wse oshte sa walidni spored CA koqto izpolzwam > CA. Можеш да правиш и релей на база самоподписан X.509, който > да пазиш в хеш-хранилище. > > Изобщо, подходът с CRL носи малко ползи, особено ако ползваш > външна CA. CA отменя сертификатите не по твое, а по свое > усмотрение. Следователно външни CA никак не ти помагат при A moje az da sym syglasen s politikata za revoke na CA ...... > контрола на достъпа. От друга страна можеш да синаправиш твоя > CA и да си издаваш каквито искаш CRL листи, но това значи > всички потребители да си издадат сертификати при теб, а да не > могат да ползват външни. > Blagodarq za otgovora, no vyprosym mi ne beshe za polzi vs. nedostatyci a za tova (makar I 4isto akademi4no) kak se pravi/configurira podobno neshto. Nadqwam se diskusitqta da prodylji :-)) > ~ Поздрави > ~ Весо > -----BEGIN PGP SIGNATURE----- > Version: GnuPG v1.2.1 (GNU/Linux) > Comment: Using GnuPG with Mozilla - http://enigmail.mozdev.org > > iD8DBQE/ojw++48lZPXaa+MRAkK3AJ0R3NiyQIJZGSJIn66jgoK1CWvuKACfbNHA > 76FcG7sEUV46GHQeaY1HzTM= > =FsQY > -----END PGP SIGNATURE----- > > > ======================================================================== ==== > A mail-list of Linux Users Group - Bulgaria (bulgarian > linuxers). http://www.linux-bulgaria.org - Hosted by Internet > Group Ltd. - Stara Zagora To unsubscribe: > http://www.linux-> bulgaria.org/public/mail_list.html > > > ======================================================================== ==== > Kostadin Karaivanov Senior System Administrator @ Ministry Of Finance tel: +359 2 98592062 [EMAIL PROTECTED] ============================================================================ A mail-list of Linux Users Group - Bulgaria (bulgarian linuxers). http://www.linux-bulgaria.org - Hosted by Internet Group Ltd. - Stara Zagora To unsubscribe: http://www.linux-bulgaria.org/public/mail_list.html ============================================================================
