[wslusarczyk@unizeto.pl] Certum CA w PLD

Marcin Bohosiewicz marcus w kernel.pl
Nie, 17 Mar 2002, 23:48:09 CET 

On Sun, 17 Mar 2002, Roman Niewiarowski wrote:

> dnia Sun, Mar 17, 2002 at 08:20:16PM +0100, Marcin Bohosiewicz napisal(a):
> 
> > Pamietajmy, jesli plik certyfikatow jest pusty domyslnie, poprostu przy 
> > pierwszym uzyciu danego certyfikatu (np. wejscie na strone z ssl),
> > uzytkownik zostaje automatycznie zapytany czy ufa certyfikatowi.
> > "Wtloczenie" certyfikatu do systemu powoduje, ze to pytanie sie nie 
> > pojawi, tylko przegladarka uzna od razu certyfikat za zaufany.
> > Dlaczego mamy za kogos decydowac komu ufa?????
> 
> Jednak jestem za tym aby np w oddzielnych paczkach byly certyfikaty.. juz
> sie tumacze :-)

I wlasnie maja byc. Z opisami w %description skad pochodza i jak sobie je 
sprawdzic ze sa prawdziwe, a nie wynikaja z "zabawy" kogos z PLD komendami 
OpenSSL'a. Oczywiscie oprocz udostepnianych przez nas certyfikatow 
powinien byc udostepniony spec zworcowy, by centra certyfikacji mialy 
narzedzie do udostepniania wlasnych certyfikatow "w formacie PLD"
na swoich stronach www czy serwerach ftp.


> zalozmy ze wchodze na strone banku (www.bank.bangladesz.com) dostaje
> zapytanie czy zainstalowac certyfikat i teraz moge go akceptowac albo nie..
> jesli nie zaakceptuje to nie bede mogl wyciagnac z tego banku wlasnych
> pieniedzy, jesli zaakceptuje to ryzykuje ze ten certyfikat byl podstawiony..
> chociazby poprzez wlam na serwer dns w zamiast na 80.45.125.1 adres wskazuje
> na 125.13.44.12.
> Mysle ze dobrze oddalem to czym sie martwie.. poprostu w takich przypadkach
> ryzykuje wlasnymi pieniedzmi...

I raczej PLD-team nie powinien byc za to odpowiedzialny, ze Twoja 
przegladarka zaufala certyfikatowi, ktory doprowadzil do "wyssania" 
pieniedzy. PLD powinno tylko umozliwic zainstalowanie wlasciwego 
certyfikatu. 
Zalecanym zrodlem certyfikatow sa CA bezposrednio.
Mozemy zebrac najwazniejsze certyfikaty i je udostepnic, ale musimy
zaznaczyc sposob ich weryfikacji, czy napewno sa wlasciwe.

Btw, to ja nie mam pewnosci czy polityka certyfikacji niektorych CA 
pozwala na dystrybucje ich certyfikatow przez innych niz oni sami.

M.


-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld.org.pl      == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-
-| == PLUG - Sad Kolezenski  -         http://www.linux.org.pl/ == |-

Więcej informacji o liście dyskusyjnej pld-devel-pl