Ну, скорее, нужно использовать протоколы без участия третьей доверенной стороны типа центра выдачи сертификатов.) А при соблюдении этого условия пусть уже эмулируют хендшейк сколько угодно.)
Не совсем понимаю, как SAML можно приспособить для общения с Гуглом или Амазоном. Он же для связи Service Providers и Identity Providers. Кто из нас с Гуглом будет identity provider?
Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат на дискетке флешке в офисе Амазона, то это одно. А если по Интернету - откуда я знаю, Амазон мне его прислал или товарищ майор? Т.е., задача сводится к предыдущей.
вообще-то существуют другие решения, хотя SAML тут, действительно, ни при чем.
X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.
Так и в https никакой такой третьей доверенной стороны не предусмотрено. Что производитель браузера решил, то у вас в корневых сертификатах и лежит, для вашего удобства. Но если хотите, можете все предустановленные сертификаты повыкидывать и вставить свой собственный, вот вам и будет протокол без третьей стороны.
Да, Вы правы, но я имел в виду не чистый https, а всю систему https + доверенные сертифицирующие центры. Вы, конечно, можете посносить у себя стандартные доверенные сертификаты и выпустить свои сертификаты для всех сайтов, только гугл, например, Ваших сертификатов использовать не будет. Так что возможность обойтись без третьей стороны - чисто теоретическая.
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png)
timeasmymeasure
no subject
Date: 2016-08-26 09:15 pm (UTC)no subject
Date: 2016-08-26 09:35 pm (UTC)Тот же SAML годился бы, если бы...
no subject
Date: 2016-08-26 09:41 pm (UTC)Кроме того, для безопасного SAMLя все равно нужно знать сертификат партнера. Если я получаю амазоновский сертификат на
дискеткефлешке в офисе Амазона, то это одно. А если по Интернету - откуда я знаю, Амазон мне его прислал или товарищ майор? Т.е., задача сводится к предыдущей.no subject
Date: 2016-08-26 10:16 pm (UTC)X.509 является одной из, но не единственно возможной, масштабируемой системой установления доверия - от рута к листьям. PGP использует другую схему - web of trust, где аутентичность ключа сертифицируют твои личные знакомые. Правда, что там с серверами делать - не очень понятно.
no subject
Date: 2016-08-26 10:35 pm (UTC)no subject
Date: 2016-08-26 11:21 pm (UTC)no subject
Date: 2016-08-26 11:40 pm (UTC)no subject
Date: 2016-08-26 11:59 pm (UTC)no subject
Date: 2016-08-27 05:54 am (UTC)no subject
Date: 2016-08-27 03:03 pm (UTC)