[wslusarczyk@unizeto.pl] Certum CA w PLD

Pon, 18 Mar 2002, 15:06:54 CET

On Sun, 17 Mar 2002, Marcin Bohosiewicz wrote:
[..]
> > W tym wypadku Unizeto ufa nam i prosi nas o dołączenie swoich root kluczy
> > do tego co dystrybuujemy. 
> Taaaak? 
> To Tomku poczytaj o co chodzi z PKI.
> Tu chodzi o to bymy to MY ufali jakiejs firmie a nie ta firma nam.

Zaufamnie jniestety jest potzrebne w obie strony.

> Zadam pytanie inaczej: czy jesli Unizeto bedzie chcialo, zeby Microsoft
> w MSIE zalaczyl ich certyfikat to Unizeto bedzie sprawdzac Microsoft czy 
> Microsoft Unizeto?

To MS nasyłą na nich Andersena i ten wykonuje audyt firmy (co włąsnie z 
trego co Wojtek mówił ma miejsce). Masz kasę żeby zapłacić AA za taki 
audyt ? Czy naprawdę nie wystarcz Ci to że juz zapłaciłłś za część takeigo 
audytu w postaci włąsnych podartkół z ktrórych zostaął opłacona 
infrastryuktóra do nadzoru firm zajmujących sie certyfikacją ?

> > My zreszta na tym zyskujemy nieporównywalnie bo
> > dzieki temu bedzie unformacja o nas w tym co Unizeto dostarcza
> > użytkownikom na temat tego co jest rekomendowane do użytku. Kwestia
> > formalmnego audytyu PLD to osobna sprawa i jest to że tak powiem "w
> > trakcie" (zaufanie jeżeli juz jest tu potzrebne to raczje wobec tego co 
> > my robimy).
> 
> Bredzisz.
> TO NIE O TO CHODZI.

A o co ?

> > Temat w tym miejscu prosiłbym uznać za zamkniety (naprawdę niepotrzebnie
> > aż tyle tekstów zostało napisanych w tym wątku .. i to tym bardziej że 
> > większość była dość bez sensu).
> 
> Nie, nie koniec tematu. NIKT NIKOGO NIE MOZE ZMUSZAC DO ZAUFANIA 
> jakiejkolwiek firmie, nawet jesli za nia stoi Wojtek Slusarczyk.

Postawie sprawę wprost: nie ufasz Unizeto ?

> My mozemy dac narzedzia, tzn.
> 1. zestaw skryptow ktory umozliwia trzymanie centralnego repozyterium 
> certyfikatow w systmie,

Jak na razie infrastruktora do czegoś takeigo jest wiązana sznurkiem. 
Zaporoponowałem konkretne zmiany w tej dziedzienie.

> 2. wzorcowy spec dla roznych CA, ktore jesli chca przygotowac pakiet
> dla PLD, maja go sobie wziac, wlozyc w %define sciezke do certyfikatu,
> zbudowac pakiet z ceryfikatem i umiejscic na _swoim_ www/ftp.

Po co masz robić coś co rzrobia inni ? Za mało masz czasu ?
Kto ma wyznaczać "wzorowość" tego speca ? Myślisz kategoriami "prezydium".

> Mozemy dac przykladowe certyfikaty, ale raczej w /supported.
> 
> Pamietajmy, jesli plik certyfikatow jest pusty domyslnie, poprostu przy 
> pierwszym uzyciu danego certyfikatu (np. wejscie na strone z ssl),
> uzytkownik zostaje automatycznie zapytany czy ufa certyfikatowi.
> "Wtloczenie" certyfikatu do systemu powoduje, ze to pytanie sie nie 
> pojawi, tylko przegladarka uzna od razu certyfikat za zaufany.
> Dlaczego mamy za kogos decydowac komu ufa?????

Proponuję zejść na ziemie i ograniczyć się do jak na razie jedynego 
przypadku czyli Unizeto. Jak TPI będzie chciało zrobić coś podobnego nie 
ma podstaw do tego żeby potraktoać ich dokładnie tak samo, a zdaje się że 
Twój protest może mieć ytutaj zaczepienie (nie musi ale w części może).
Jeżeli tak jest to nie widzę powodówdla których nie mielibyśmy tu 
traktołać kogokolwiek nasepnego na innych zasadach.

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*