[wslusarczyk@unizeto.pl] Certum CA w PLD

Marcin Bohosiewicz marcus w kernel.pl
Nie, 17 Mar 2002, 20:20:16 CET 

On Sun, 17 Mar 2002, Tomasz Kłoczko wrote:

> On Sun, 17 Mar 2002, Marcin Bohosiewicz wrote:
> 
> > On Sat, 16 Mar 2002, Michal Kochanowicz wrote:
> > 
> > > On Sat, Mar 16, 2002 at 08:17:09AM +0100, Marcin Bohosiewicz wrote:
> > > > Wtedy PLD certyfikaty dostarcza, ale to instalujacy PLD _swiadomie_ 
> > > > decyduje ktorym certyfikatom jego instalacja ma domyslnie ufac.
> > > Wybacz ignorancję, ale jednej rzeczy nie rozumiem. Na jakiej podstawie
> > > należy decydować czy danemu certyfikatowi można ufać, czy nie?
> > 
> > Podstaw moze byc wiele ale ogolnie:
> > 1. team tworzacy dana przegladarke/system/dystrybucje ma opracowane
> > procedury audytu poszczegolnych centrow certyfikacji i jesli ten audyt
> > przebiegnie pomyslnie - wtedy dolacza (imvho my nie chcemy tego robic)
> 
> W tym wypadku Unizeto ufa nam i prosi nas o dołączenie swoich root kluczy
> do tego co dystrybuujemy. 
Taaaak? 
To Tomku poczytaj o co chodzi z PKI.
Tu chodzi o to bymy to MY ufali jakiejs firmie a nie ta firma nam.

Zadam pytanie inaczej: czy jesli Unizeto bedzie chcialo, zeby Microsoft
w MSIE zalaczyl ich certyfikat to Unizeto bedzie sprawdzac Microsoft czy 
Microsoft Unizeto?

> My zreszta na tym zyskujemy nieporównywalnie bo
> dzieki temu bedzie unformacja o nas w tym co Unizeto dostarcza
> użytkownikom na temat tego co jest rekomendowane do użytku. Kwestia
> formalmnego audytyu PLD to osobna sprawa i jest to że tak powiem "w
> trakcie" (zaufanie jeżeli juz jest tu potzrebne to raczje wobec tego co 
> my robimy).

Bredzisz.
TO NIE O TO CHODZI.

> Temat w tym miejscu prosiłbym uznać za zamkniety (naprawdę niepotrzebnie
> aż tyle tekstów zostało napisanych w tym wątku .. i to tym bardziej że 
> większość była dość bez sensu).

Nie, nie koniec tematu. NIKT NIKOGO NIE MOZE ZMUSZAC DO ZAUFANIA 
jakiejkolwiek firmie, nawet jesli za nia stoi Wojtek Slusarczyk.

My mozemy dac narzedzia, tzn.
1. zestaw skryptow ktory umozliwia trzymanie centralnego repozyterium 
certyfikatow w systmie,
2. wzorcowy spec dla roznych CA, ktore jesli chca przygotowac pakiet
dla PLD, maja go sobie wziac, wlozyc w %define sciezke do certyfikatu,
zbudowac pakiet z ceryfikatem i umiejscic na _swoim_ www/ftp.

Mozemy dac przykladowe certyfikaty, ale raczej w /supported.

Pamietajmy, jesli plik certyfikatow jest pusty domyslnie, poprostu przy 
pierwszym uzyciu danego certyfikatu (np. wejscie na strone z ssl),
uzytkownik zostaje automatycznie zapytany czy ufa certyfikatowi.
"Wtloczenie" certyfikatu do systemu powoduje, ze to pytanie sie nie 
pojawi, tylko przegladarka uzna od razu certyfikat za zaufany.
Dlaczego mamy za kogos decydowac komu ufa?????

M.


-- 
-| == Marcin Bohosiewicz - MB8042-RIPE - marcus w kernel.pl	== |-
-| == tel. +48 601 485097 - PLD Team   - marcus w pld.org.pl      == |-
-| == http://www.kernel.pl/ -          ftp://ftp.kernel.pl/     == |-
-| == PLUG - Sad Kolezenski  -         http://www.linux.org.pl/ == |-

Więcej informacji o liście dyskusyjnej pld-devel-pl