Re:[to Vitroot] Возможно ли включить https для рулина ?
> 1) у нас есть один CA с сомнительной репутацией, и желательно присматриваться к каждому сертификату - вдруг его выдали они. Заодно теряется весь смысл доверенности CA, и снижается юзабельность всей системы;
> 2) оказалось, что реальных рычагов воздействия на CA у сообщества нет.
Таких проблем[ы] в принципе нет :)
Где-то в системе реализации ЭЦП есть список доверенных центров сертификации, который поставляется по умолчанию для удобства пользователей. По определению пользователь может вносить/выносить нужные/ненужные ему certification authorities из этого списка. Вроде бы должен быть ещё и список для недоверенных авторити, сертификаты которых не отозваны, но которым пользователь не доверяет.
Только поскольку мне всегда было на эти сертификаты похуй, я не в курсе где это дело настраивается в линуксе (в венде это делается достаточно просто) и существует ли общий реестр или например тот же фафик использует свой собственный список - в последнем случае подкручивать заебёшься в разных местах. (Разговор о том что файрфокс отказался что-то удалять из доверенных сертификатов какбэ намекает что у них свой отдельный список используется штоле?)
> Но если раньше, получая подписанный сертификат, можно было хотя бы быть уверенным, трафик между тобой и невесть какой фирмой не перехватывают, то сейчас в этом нельзя быть уверенным.
И раньше нельзя было быть в этом уверенным. Можно было быть уверенным только в том, что крупная фирма, кующая нехилое бабло на выдаче сертификатов, не станет жертвовать своей репутацией из-за твоего аккаунта на каких-нибудь вебманях.
> Это да. Система будет работать, если, конечно, сертификат для проверки тоже не перехватят посередине (не на дисках же его раздавать?), и пользователи верят рулинуксу:)
Сертификат публично доступен, но им можно воспользоваться только зная закрытый ключ, поэтому перехватывать нечего: закрытый ключ не покидает сервера. Хотя сервер тоже могут поиметь, конечно..
Re:[to Vitroot] Возможно ли включить https для рулина ?
> 1) у нас есть один CA с сомнительной репутацией, и желательно присматриваться к каждому сертификату - вдруг его выдали они. Заодно теряется весь смысл доверенности CA, и снижается юзабельность всей системы;
> 2) оказалось, что реальных рычагов воздействия на CA у сообщества нет.
Таких проблем[ы] в принципе нет :)
Где-то в системе реализации ЭЦП есть список доверенных центров сертификации, который поставляется по умолчанию для удобства пользователей. По определению пользователь может вносить/выносить нужные/ненужные ему certification authorities из этого списка. Вроде бы должен быть ещё и список для недоверенных авторити, сертификаты которых не отозваны, но которым пользователь не доверяет.
Только поскольку мне всегда было на эти сертификаты похуй, я не в курсе где это дело настраивается в линуксе (в венде это делается достаточно просто) и существует ли общий реестр или например тот же фафик использует свой собственный список - в последнем случае подкручивать заебёшься в разных местах. (Разговор о том что файрфокс отказался что-то удалять из доверенных сертификатов какбэ намекает что у них свой отдельный список используется штоле?)
> Но если раньше, получая подписанный сертификат, можно было хотя бы быть уверенным, трафик между тобой и невесть какой фирмой не перехватывают, то сейчас в этом нельзя быть уверенным.
И раньше нельзя было быть в этом уверенным. Можно было быть уверенным только в том, что крупная фирма, кующая нехилое бабло на выдаче сертификатов, не станет жертвовать своей репутацией из-за твоего аккаунта на каких-нибудь вебманях.
> Это да. Система будет работать, если, конечно, сертификат для проверки тоже не перехватят посередине (не на дисках же его раздавать?), и пользователи верят рулинуксу:)
Сертификат публично доступен, но им можно воспользоваться только зная закрытый ключ, поэтому перехватывать нечего: закрытый ключ не покидает сервера. Хотя сервер тоже могут поиметь, конечно..