http://deconte.ru могу расшарить код там примивный

и с базой не сложная логика

https://bitbucket.org/deconte/deconte/

https://yopp.in/12p8

ну вощем начало положено

X509 это вообще своя особая атмсофера. Но в монге конечно оно особенно колоритно смотрится. mongo --ssl --sslCAFile /etc/ssl/certs/myca.pem --sslPEMKeyFile /home/username.pem --host foo42.dc1.example.net --username "C=CC,L=Local,O=Org,OU=MongoUsers,CN=username" --authenticationMechanism "MONGODB-X509" --authenticationDatabase "\$external"

я упорно не понимаю почему нельзя было просто сделать ключ -x509 /home/username.pem, который в том числе вытащит subject

и не понимаю почему монга не может в root-ca-store

ведь тогда было бы просто mongo --host foo42.dc1.example.net --x509 /home/username.pem

и не понимаю почему монга не может в root-ca-store

Потому что 2017.

Потому что 2017.

Никому нельзя верить, даже своему root-ca-storage?

Вообще без root-ca-storage очень грустно, да.

Не только в MongoDB.

Мне вот лично гораздо проще свою ca вшить намертво в ось, чем вот это вот всё.

А потом они удивляются почему никто не хочет СЕКУРНО деплоить

шифрование далеко не всем нужно, а сжатие в openssl выпилили везде где можно

ну и в root-ca-storage куча сертификатов удостоверяющих центров же

шифрование далеко не всем нужно, а сжатие в openssl выпилили везде где можно

шифрование нужно далеко всем

вообще всем

шифрование нужно далеко всем

тебя гугл покусал

гугл?

два сервера в одной стойке в своём влане - зачем им шифрование?

чтобы пинг был больше?

:)

пинг больше?

у меня к PKI одна претензия — UX просто феерически уёбищный

помимо этого, шифрование нехилый лаг добавляет, особенно на установку нового соединения

в 2017 году даже в сраных esp32 уже есть аппаратная реализация почти всех алгоритмов, включая rsa

помимо этого, шифрование нехилый лаг добавляет, особенно на установку нового соединения

два раундтрипа

угу, а 0-rtt нету до сих пор

в 1.3 что-то такое обещают

ну так не надо соединение на каждый запрос устанавливать

оверхед в tls только на хендшейк

дальше AES с болчным режимом, твоему цпу ваще это похуй

ну так не надо соединение на каждый запрос устанавливать

все равно обычно некоторый ограниченный пул

и?

ну потеряешь ты сумарно 100мс при популяции пула

и чо?

дальше шифрование ничего не стоит на фоне всего остального

когда база отвечает за 10 мс, лишние 100мс - это много

и ещё ращ

ты при установке соединения делаешь хендшейк

ну и да, один раз 100мс. и всё

если пулл из 100 соединений — 100 запросов с чуть худшим сла. УЖАС КАКОЙ

я всё еще не увидел аргументов за шифрование у двух серверов в соседних юнитах

это тебе повезло

точнее не повезло

я вот не знаю где железо стоит

по интернету незашифрованный трафик гонять я не стал бы - это да

и железо ли там, в ряде случаев

не, базу на виртуалку ставить - я не самоубийца.

пфф

неизвестно когда она из-за соседей просядет

если io провизится, то нет никакой разницы особо

он честно разве где-то провизится?

так не надо по помойкам шлятся

но это уже другой вопрос.

а чо, у вас данные не очень нужные?

если у тебчя не виртуалка размером с физический сервер, где нет никого кроме тебя, - всё равно будут проблемы

что вы их в одной (!) стойке храните

если у тебчя не виртуалка размером с физический сервер, где нет никого кроме тебя, - всё равно будут проблемы

какие?

io

что io?

что вы их в одной (!) стойке храните

я вообще не про себя говорил, у меня в 3х географичесик разных локациях данные лежат

без шифрования?

шифрование уровнем ниже идёт

уровнем ниже чего?

ipsec тонель?

это сетевиков надо спрашивать, что конкретно они используют

эт всё печально.

что "всё"?

устал я чот!

у меня в базе нет личных данныых людей, чтобы так параноить)

да и сеть всё равно внутренняя

вот последнее — очень опасная логическая ошибка

я не говорил про отсуттсвие авторизации

она есть, естественно

если ssl нет, то от неё толку мало :)

ну вообще монговцы заявляют, что она секурна

SCRAM-SHA-1 да, а вот CR нет