Hlavní navigace

Názor k článku Yubikey Neo po dvou letech od Ondrej Mikle - Mně přijde, že pořád řešíte nějaký problém a...

  • Článek je starý, nové názory již nelze přidávat.
  • 21. 11. 2015 22:33

    Ondrej Mikle (neregistrovaný) ---.net.upcbroadband.cz

    Mně přijde, že pořád řešíte nějaký problém a jeho workaround v usecase, který jste nesdělil a mně ho nezbývá než hádat.

    Původně jsme řešili, že existuje lepší cesta než poor man's key pinning kopírovaním certifkátu, resp. veřejného klíče všude. To je víceméně celá pointa X.509 a X.500.

    Privátní klíč je nutný jenom pro vytvoření CSR. CSR může být podepsáno klidně offline u registrační autority (RA, ekvivalent validačního místa). Člověk přijde, ověří, že je to skutečně on - celá pointa osobní identifikace. Pak se u RA podepíše CSR, a bam! Nový certifikát. Ten bude fungovat i když byl podpis vygenerován offline. Člověk si ho okamžitě může nahrát do původního slotu.