Certyfikaty dla Mozilli - skąd wziąść?

[Jacek Konieczny]

On Sat, Mar 22, 2003 at 10:20:54AM +0100, Michal Kochanowicz wrote:
> Dzięki za odpowiedzi.
> 
> On Fri, Mar 21, 2003 at 10:04:51AM +0100, Jacek Konieczny wrote:
> > W sumie mogły by one być w dystrybucyjnej mozilli, ale pod warunkiem, że
> > wszelkie zaufanie do nich byłoby domyślnie wyłączone (jak user będzie
> > pewien ich autentyczności, to sobie włączy).
> No widzisz, właśnie takie rozwiązanie mi się nie podoba :) Chciałbym,
> aby ktoś to zrobił za mnie - czyli żebym poprostu napisał
> poldek -i mozilla-certs
> i miał spokój. Albo żeby były odrazu w mozilli i aktywne - bo prawda
> jest taka że większość osób nie będzie sprawdzać autentyczności
> certyfikatów, a zainstaluje je żeby mieć spokój z security warningami.

Trudno postawić jeden haczyk przy danym certyfikacie? Ja uważam, że jako
twórcy dystrybucji nie mamy prawa za użytkownika decydować jakim
certyfikatom ma ufać, szczególnie że umieszczając certyfikaty 
w dystrybucji nie mamy możliwości zapewnić o ich autentyczności.

W praktyce użytkownik spotka się jedynie z kilkoma CA (właściwie tylko
Verisign i Thawte), więc może sobie przy nich haczyki postawić, nawet
bez sprawdzania ich autentyczności - to wtedy będzie jego decyzja.
Uważam jednak, że warto same certyfikaty w dystrybucji umieścić,
większość CA nie ułatwia ich uzyskania, uważają, że jak dali
Microsoftowi i AOL, żeby ci umieścili w swoich przeglądarkach, to
wystarczy. Jest jeszcze jedna sprawa: może się okazać, że tych
certyfikatów nie wolno nam rozprowadzać - prawa autorskie itp.

No ale ja jestem paranoikiem, któremu całe to PKI się nie podoba - wolę
self-signed certificate od zaufanej osoby, niż coś podpisane przez
jakieś Thawte. Niestety większość programów obsługujących SSL inaczej na
to patrzy :-(.

Pozdrowienia,
        Jacek