21 марта, 2014
0 Comments
1 category
В связи с внедрением шифрования в xmpp , я озаботился поменять шифровальную пару, сертификат и проверить свой сервак на соответствие “текущему моменту” так сказать.
- https://xmpp.net/ – IM Observatory, так сказать – валидатор
- Джаббер переходит на полное шифрование – статья на хабре
- securing XMPP – описание
Важно: в поле Subject DN значение CN должно равняться домену, а не имени сервака. Что принципиально отличается от https, например. Этот так, на память.
Забавно, но у меня создалось впечатление, что возможная суть происходящего:
- заставить людей покупать сертификаты. Не, конечно, пока можно удовольствоваться бесплатным, но принуждение завязываться на чью-то сертификацию… Чего-то попахивает кидаловом.
- получить возможность отключить любой кусок xmpp пространства. У кого CA, тот ведь может и отозвать сертификат. И временно заблокировать. Счета ведь блокируют, а почему бы не отключить тех кто не согласен с единственно верными, скажем, демократическими ценностями.
Что меня смущает:
- IM Observatory спокойно относится к алгоритмам шифрования, длине ключа. А вот за самоподписанный сертификат сразу следует “кидок” с “A” на “F” по их шкале
европейскихценностей: “Certificate is not trusted, grade capped to F. Ignoring trust: A.” На алгоритмы наплевать, а вот пользоваться “правильным” CA это суперважно, да, да. - принуждение пользоваться сервисом (в данном случае – сертификацией) от “правильных” CA напрягает.
- хорошо, сейчас “зачистят” xmpp-пространство от “неправильных” сертификатов. Кто мешает потом также зачистить и от бесплатных? Или по какому ещё признаку. Какого … кучка коммерсантов решает, кто может передавать xmpp сообщения, а кто нет. Почту тоже отдадим “эффективным” менеджерам?
- спешка. Ну, куда гнать?
- зачем отключать тех, кто не перешел на шифрование? Ну, сделайте пометку на сообщения, которые проходили нешифрованным каналом.
- сервера не готовы, клиенты не готовы, инструкций “кот наплакал”.
- Нафига всё это? Не, модно, все дела. А кроме “пальцев”?
- представьте – завтра запретили http. Остался только https…
Конспирология какая-то. Но, скажем, в ssmtp обошлись ведь без диктата производителей сертификатов. Что, теперь, вместо твиттерных, будут делать джабберные революции? В общем, что-то мне не нравится этот процесс…
Прикольно, да?…
Category: EJabberd