schors
Популярное объяснение что не так с ГОСТом от Alex Samorukov:
"Когда я скачиваю/конфигурирую клиента tls, я by design, конфигурирую какую либо цепочку доверия. Вот в браузере это ca/bf, например. В клиенте к чешской налоговой — это список CA которым доверяет мвд .cz, и так далее. Обычно у этого множества CA есть некоторый общий регламент и принципы работы. Мы прекрасно понимаем, что добавление даже одного ca с другими политиками приведет к boom, что много раз доказывали авторы антивирусом и прочего стремного софта который добавляет свой рут.
Соответственно меньше всего я ожидаю от сервера, что он будет выбирать множество ca (заметь, не сам ca, а именно другое множество) исходя из положения звезд на небе и списка шифров, которые умеет клиент. Это — просто бессмысленно и бесполезно, так как в таком решение, на самом деле, плохо все, и технически и административно. И так, собственно, никто и не делает, на всех сервисах, которые работают не от ca/bf всегда свой url и часто отдельная страничка которая и рассказывает о том где и как скачать ca set.
Теперь, почему это плохо.
-
Этот автовыбор сломается, как только кто-то еще (неважно кто) заимплементит свой набор ca с gost-ом но другими рутами и политикой. Допускать, что этого никогда не произойдет — стрелять себе в ногу, тем более что n сетов рутов даже в пределах одного государства или даже организации — частое явление. Произойдет при этом именно то, что описано у фила. В итоге, чтобы этого не произошло — гост будут максимально изолировать в песочницы, чтобы ндйбг он не засветился в возможностях клиента )
-
Это и административно неумно. Обычно, если мы создаем свой CA — то нас по каким-то причинам не устраивает ca/bf. Таких причин может быть куча, и они часто валидны. Но если сервис одновременно использует на том же ендпоинте ca/bf и нечто совершенно другое — мы просто уменьшаем безопасность, ничего не получая взамен.
Гост тут и правда ни при чем. Как и любой другой алгоритм. И для любого технаря было бы очевидно, что если мы пришли с клиентом умеющим эллиптику и получили что-то от условной чешской почты, а придя с RSA — получили бы рут от ca/cf — то это косяк и ошибка конфигурации. А с гостом православных связистов начинает клинить, хотя как ты и сам пишешь — он ни при чем. Вот и вся история"