[patch] dovecot

Śro, 15 Wrz 2004, 12:04:23 CEST

On Wed, Sep 15, 2004 at 10:56:58AM +0200, Tomasz Wittner wrote:
> Jeszcze zacytuję z man stunnel (brakuje nam chyba specjalisty od ssl tutaj):
> CApath = katalog_CA
>            katalog Centrum Certyfikacji

To katalog z certyfikatami CA służącymi do weryfikacji certyfikatów wraz
z hash-linkami umożliwiającymi szybkie znajdowanie właściwego
certyfikatu.

> CAfile = plik_CA
>            plik Centrum Certyfikacji

To plik z certyfikatami służącymi do weryfikacji certyfikatów i/lub
z certyfikatem CA-korzenia w łańcuchu certyfikatów dla własnego
certyfikatu. 

> CRLpath = katalog_CRL
>            katalog List Odwołanych Certyfikatów (CRL)

Katalog z CRL (mało co to sprawdza, mało które CA sensownie to
udostępnia, a bez tego całe "zaufanie" jest niewiele warte), działający
podobnie jak CApath.

> CRLfile = plik_CRL
>            plik List Odwołanych Certyfikatów (CRL)

Plik z CRL działający podobnie jak CAfile.

> Zwłaszcza mnie zaintrygował owy "katalog List Odwołanych Certyfikatów (CRL)"

Tak powinny mieć wszystkie programy. 
No i CApath i CRLpath często muszą być inne dla różnych usług, bo inne
CA mogą decydować o prawie dostępu do usługi. Jednak defaultowo mogłoby
być po jednym katalogu lub pliku. OpenSSL chyba nawet domyślnie korzysta
ze swojego /usr/share/ssl/ca-bundle.crt.

Pozdrowienia,
	Jacek