Zasoby z certyfikatami SSL - miejsce w drzewku katalogów

[Tomasz Kłoczko]

On Mon, 18 Mar 2002, Marcin Bohosiewicz wrote:
[..]
> 3. do tego pakiety openssl-cert-<nazwa_CA> z certyfikatami,
> gdzie w %verifyscript mozna (a nawet trzeba, wtedy tylko dostarczanie 
> certyfikatow ma sens) dodac sprawdzanie autentycznosci
> certyfikatu w danym CA poprzez rpm -V. Padl jeszcze pomysl, zeby pakiety
> z certyfiaktami obecne na naszym ftp byly _podpisane_ przez CA.

Sformułuj jeszcze jasno tak żeby nie tylko mnie przekonać potrzeby 
kawałkowanai zasobów ceryfikatów. Po mimo że nawet sam ten schemat 
zaproponowałem (openssl-cert-<nazwa_CA>) to nadal przyznam że nie zdaje 
sobie sprawy z tego że naprawdę musimy/powinniśmy oodzielać podstawowe 
certyfikaty w osobne pakiety.
Zastanów się nad tym. Chdzi o to żeby znaleźć w tym możliwe racjonalne 
powody podejmowania decyzji o takim kroku (i jeszcze raz: działania mające
podłoże paranoiczne wogóle tu nie powinny wchodzić w rachubę).

> Wtedy to ma sens, my dostarczamy certyfiaktow i narzedzi umozliwiajacych
> ich weryfikacje, a CA moga rowniez same dostarczac pakiety z 
> certyfikatami, my przygotowalismy tory, CA wprowadzily pociagi.
> 
> Jutro napisze cos wiecej, ale Macintosh G4 na pierwsza komercyjna 
> instalacje portu PLD na PPC czeka i dopomina sie rpmow ;)

Kwestia wypracowani standardu weryyfikacji root kluczy CA to jest osobna 
sprawa i też niewątpliwie warto bezie mieć i tu dobry schemat.

Tak czy inaczej wynik wątków z root kluczami CA ma o tyle pozytywne efekty 
że wychodzi na to ze beziemi dzieki trtemu mieli jasne i standardowe 
mechanizmmyperowanai na tego typu zasobach .. czego chyba raczje nie ma w 
innych dystrybucjach :)

kloczek
-- 
-----------------------------------------------------------
*Ludzie nie mają problemów, tylko sobie sami je stwarzają*
-----------------------------------------------------------
Tomasz Kłoczko, sys adm @zie.pg.gda.pl|*e-mail: kloczek w rudy.mif.pg.gda.pl*