> большинство почтовиков ... соглашается на оппортунистический TLS
защита от пассивной прослушки всё же лучше, чем её отсутствие
> без верификации цепи доверия до центра сертификации публичного PKI
а что, есть стандарт, ЧТО именно проверять? ну корень ок, а дальше? соединяется в наш сокет какой-то МТА, говорит (как? ну допустим, Via), что он от гугла промежуточный сертификат выдан летсэнкриптом на pupkin.ru с правом выпуска, дальше пупкин подписал *.gmail.com и...???? или требовать прям сразу от корня? ресолвать днс от IP раутера, который соединяется? так он может и на пыщь-пыщь-cloud.aws.net и прочих технических доменах
если требовать прописывать в днс публичную часть сертификата а-ля дким, то хм, днс даже проще митм
по понятным соображениям, если от корневых днс серверов требовать днссек с сертификатами, то властям будет очень удобно
> снабжаемых этими секьюрити вендорами соответствующими списками
корпоративный маразм выжирает много кого общее соображение такое, что для работы тайные переписки не нужны, поэтому нефиг на работе туда ходить есть соображения, что если пидор-эмплойи начнёт тырить инфу или сливать, или бот на его компе -- то даже не перехватишь для отлова и увольнения
у нас на работе весь домен .tk забанен, скопом например google.tk тоже
поэтому хочешь на работе инет -- свой девайс со своим провом, например мобильный
no subject
защита от пассивной прослушки всё же лучше, чем её отсутствие
> без верификации цепи доверия до центра сертификации публичного PKI
а что, есть стандарт, ЧТО именно проверять? ну корень ок, а дальше?
соединяется в наш сокет какой-то МТА, говорит (как? ну допустим, Via), что он от гугла
промежуточный сертификат выдан летсэнкриптом на pupkin.ru с правом выпуска, дальше пупкин подписал *.gmail.com и...???? или требовать прям сразу от корня?
ресолвать днс от IP раутера, который соединяется? так он может и на пыщь-пыщь-cloud.aws.net и прочих технических доменах
если требовать прописывать в днс публичную часть сертификата а-ля дким, то хм, днс даже проще митм
по понятным соображениям, если от корневых днс серверов требовать днссек с сертификатами, то властям будет очень удобно
> снабжаемых этими секьюрити вендорами соответствующими списками
корпоративный маразм выжирает много кого
общее соображение такое, что для работы тайные переписки не нужны, поэтому нефиг на работе туда ходить
есть соображения, что если пидор-эмплойи начнёт тырить инфу или сливать, или бот на его компе -- то даже не перехватишь для отлова и увольнения
у нас на работе весь домен .tk забанен, скопом
например google.tk тоже
поэтому хочешь на работе инет -- свой девайс со своим провом, например мобильный