> Понимаешь, эта сложность нужна для решения реальных сложных задач. Какие реальные задачи решает доисторический SSLv3? Доступ левых MITMов в чужие данные? :) А может быть, ты придумаешь юзкейс для heartbeat с заказом произвольного объема данных? А то я так смотрю, его отпилили - никто и не заметил.
> Дурные умолчания и дурное апи - разговор другой, конечно.
Это всего лишь логичное дополнение к общей картине. Х-во сделанному протоколу с кучей дряни - и апи под стать! И дефолты. Такой протокол невозможно проаудитить на предмет возможных вариантов развития событий во всех комбо с разумными затратами сил. Это обрекает реализаторов на туеву хучу багов, если они попробуют реализовать всю эту туеву хучу фич. Получаются вот такие плюхи и прочие heartbleed. Которых быть вообще не должно. Потому как нефиг уметь слать произвольный объем данных по запросу ремоты. И нефиг уметь шифровать по DES с ключом 40 битов - это имитация бурной деятельности, а не защита: его кто угодно вскроет за обозримое время.
> Но вот сама сложность SSL/TLS - она не с пустого места родилась.
Ну конечно, судя по Сноудэну - NSA очень старались, чтобы вышло именно так. Впарив максимально дурные решения как стандарты. Где 25519 например? Быстрый как ракета и с стойкостью уровня 2048 битного RSA, только быстрее в 100500 раз на всех операциях? Ах, нету? Зато есть NISTовские кривые. Тормознее в разы и, возможно, с бэкдорами. Великолепно, гули. Хорошее дополнение к DualEC DRBG от NIST. Кто хочет быть попаданцем - идет и пользуется стандартизированным!!!111 DualEC и нистовскими кривыми. Как раз NSA будет удобно. Зато стандарт!!!1111
> И не будет там никогда файлика для твиттера.
Ну так махровая энтерпрайзятина обречена быть гомнософтом с кучей багов, а в крипто любая аномалия оказывается достаточно фатальна. Крипто не бывает второй свежести.
> Потому что нужны цепочки, нужны отзывы, нужен менеджмент сертификатов,
Ну вот и получите тогда Comodohacker'а, который выписал себе сертификаты на все и вся. Он уже показал как надо менежмент сертификатов делать, сломав дигинотара в хлам. А заодно и их активную директорию (ибо большому кораблю - БОЛЬШАЯ торпеда). Ты хотел энтерпрайзятины - ну на, получай!
Ну а openssl по дефолту доверяет туевой хуче CA. Вот так и получается что NSA или какой comodohacker может их немного ломануть/надавить. И все твои цепочки быстренько трансформируются в большой факап, когда какие-то левые хрены могут мимикрировать под твой сервер с полоборота. И заметить отличия может.. нууууууу... я видел целый пиджин, который парился о том что сертификат изменился. Сцуко единственная программа на планете из всех которые я видел. А остальные втихушку поумничают, скушав вражеский сертификат. Круто, правда? :)
> нужны компромиссы затрат ресурсов/безрасность,
Не заметно. Если бы это было правдой, за 25519 зубами бы цеплялись, как за очень удачную вариацию на эту тему: скорость ракеты и безопасность RSA-2048. При скорости на несколько порядков (!!!) выше.
> нужна совместимость с уже существующими реализациями,
Спасибо, но совместимость с DES и прочими RC2 с ключом 40 битов - означает что атакующий в два счета устроит активную атаку, задаунгрейдив конекцию до этого варианта. Потому как активны атакующий может, внезапно, менять все поля протокола по своему усмотрению. И протокол или делается так, что с этого ничего поиметь нельзя, или возникают факапы как в SSL.
> легаси софте или, паче, железе...
Криптография бывает только первой свежести. Вторая - это уже тухлятина. Ну ты в своем праве ходить телнетом на вон ту железку, через открытый вайфай. Но если тебе разнесут в результате энтерпрайз в жанре комодохакеры - ну ты сам в этом виноват, потому что думать надо было головой, а не другими частями тела. Атакующие не собираются слушать все это энтрпрайзное блеяние. Они просто приходят и ломают, если это технически возможно сломать. Им пофиг на твои блеяния про компромиссы и совместимость.
> я не вспомнил или вообще не знаю.
...и которые не забудут #$%нуть тебе по лбу ручкой грабель при удобном случае, подыграв MITM-у на проводе, а вовсе не.
> Другое дело, что, возможно, для каких-то ситуаций нужен параллельный ДРУГОЙ
> протокол с другим набором фич.
Для начала нехило бы перестать считать SSL/TLS защитой от чего либо. Оно втирание очков нежели защита, для начала.