Компания Red Hat открыла (http://www.press.redhat.com/2008/03/19/source-code-for-red-h.../) исходные тексты продукта
Red Hat Certificate System (http://www.redhat.com/certificate_system/), ориентированный на создание систем управления цифровыми сертификатами и инфраструктуры открытых ключей (PKI, Public Key Infrastructure). Код системы основан на технологиях компании Netscape, выкупленных у AOL три года назад. В частности, в Red Hat Certificate System используется Apache, Red Hat Directory Server и набор криптографических библиотек соответствующих требованиям стандарта FIPS140-2.
На базе открытого под лицензией GPL кода уже планируется построить систему управления цифровыми сертификатами в проекте freeIPA (http://www.freeipa.org/), занимающемся разработкой централизованной системы для идентификации пользователей, задания политик доступа и аудита.URL: http://www.press.redhat.com/2008/03/19/source-code-for-red-h.../
Новость: https://www.opennet.ru/opennews/art.shtml?num=14849
было бы славно на этом всем всколбасить проект совместно с Мурзиллой
и Фаерфоксом - и выдавать валидные сертификаты бесплатно.Ибо эти 3.14 совсем зажрались...
это будет почва для грязных инсинуаций
>это будет почва для грязных инсинуацийот того, что за это берут деньги чистоты не добавится.
Бесплатно ключики корневые центры выдавать не будут никогда, потому что это деньги (и это главное) и этот бизнес требует вложений и затрат на содержание.
>Бесплатно ключики корневые центры выдавать не будут никогда, потому что это деньги
>(и это главное) и этот бизнес требует вложений и затрат на
>содержание.RH + Мозилла (с ростущим по популярности браузером, и встроенными в него
нужными CABundle'ами) - еще и как способны сотворить что-нибудь
доброе и светлое в этой области.
>>Бесплатно ключики корневые центры выдавать не будут никогда, потому что это деньги
>>(и это главное) и этот бизнес требует вложений и затрат на
>>содержание.
>
>RH + Мозилла (с ростущим по популярности браузером, и встроенными в него
>
>нужными CABundle'ами) - еще и как способны сотворить что-нибудь
>доброе и светлое в этой области.Ничего они не сотворят - потому что для того, чтобы сертификаты работали, нужна инфраструктура, позволяющая их проверить, Мозила тут вообще мимо темы - только что список доверенных корневых центров будет там обновляться по хитрому.
Konwin - ты просто не шаришь :) Посмотри почему сертификаты подписанные верисайном к примеру твой браузер ест не заикаясь, а селф сигнед - нет. Потом подумай (или спроси у админа) - как сделать чтобы твой самодельный СА в _подконтрольных_тебе_ браузерах воспринимался без проблем ... вот тогда и поговорим :)Кстати зажрались только верисайны. В том же тафте - $150 - в 5 раз дешевле.
>Konwin - ты просто не шаришь :) Посмотри почему сертификаты подписанные верисайном
>к примеру твой браузер ест не заикаясь, а селф сигнед
>- нет. Потом подумай (или спроси у админа) - как сделать
>чтобы твой самодельный СА в _подконтрольных_тебе_ браузерах воспринимался без проблем ...
>вот тогда и поговорим :)
>
>Кстати зажрались только верисайны. В том же тафте - $150 - в
>5 раз дешевле.Про трастовые корневые центры мне рассказывать не надо... А что касается подконтрольных браузеров - это конечно всё хорошо, но речь идёт не о ваших самопалах масштаба офиса, а об сертификатах, которые бы не возбуждали пользователей какого-нибудь глобального портала и о том что такие сертификаты бесплатными не будут, неважно на каком ПО они генерятся.
П.С. у тафта 150 баксов стоит тот сертификат, который вы можете в веб сервер подпихнуть, а тот, которым вы можете подписывать свои по-моему стоит немного дороже.
А верисайн зажрался на правах центра имеющего мощную поддержку клиентов и выпускающего любые виды сертификатов для любых систем их использующих (в том числе платёжных и т.д.), к тому же верисайн делает много чего еще помимо выдачи ключиков....
Дядьку, если вас давит жаба, то...
1) Вы можете сами себе сделать ауторити и от ее лица подписывать себе же сертификаты.Это называется self-signed certificate.Проблема ровно одна - браузеры у юзеров будут предупреждать что такой сертификат не особо то надежен(ну логично, поскольку никто не запрещает кому попало генерить такие сертификаты с любыми намерениями).До тех пор пока юзер не установит сертификат вашей корневой ауторити в список сертификатов которым доверяет браузер.Как ни странно схема вполне жизнеспособна и используется в таком виде например WebMoney.Для избавления от ругани ставим их сертификат и вуаля.С точки зрения вебмастера оно просто, быстро и бесплатно - сертификаты вы себе сами выдаете.С точки зрения юзера это менее доверябельно потому как а хрен бы его знает кто там этот сертификат подписал - он не является доверяемой ауторити изначально...2) Уже давно есть как минимум 1 ауторити (а может и больше) которая включена в дефолтный список сертификатов мозиллы\фокса и которая подписывает сертификаты БЕСПЛАТНО (данные о себе сообщить,разумеется,придется).
Так что с вашим прожектом вы, похоже, малость пролетаете... он не изменит ровным счетом ничего.
>2) Уже давно есть как минимум 1 ауторити (а может и больше)
>которая включена в дефолтный список сертификатов мозиллы\фокса и которая подписывает сертификаты
>БЕСПЛАТНО (данные о себе сообщить,разумеется,придется).Подскажи плиз, как называется. В IE она тоже есть?
>Для избавления от ругани ставим
>их сертификат и вуаля.С точки зрения вебмастера оно просто, быстро и
>бесплатно - сертификаты вы себе сами выдаете.С точки зрения юзера это
>менее доверябельно потому как а хрен бы его знает кто там
>этот сертификат подписал - он не является доверяемой ауторити изначально...а КТО является доверяймым авторити _изначально_ ???? %)
уж не веризон ли??? :D
че-то у меня лично к Мозилла corp. больше доверия, чем к "изначальному авторити" этому %)
>[оверквотинг удален]
>>бесплатно - сертификаты вы себе сами выдаете.С точки зрения юзера это
>>менее доверябельно потому как а хрен бы его знает кто там
>>этот сертификат подписал - он не является доверяемой ауторити изначально...
>
>а КТО является доверяймым авторити _изначально_ ???? %)
>
>уж не веризон ли??? :D
>
>че-то у меня лично к Мозилла corp. больше доверия, чем к "изначальному
>авторити" этому %)А просмотреть корневые центры в браузере религия не позволяет? Из там несколько десятков. Верисайн просто самый раскрученный и наверное самый универсальный (или один из).
>[оверквотинг удален]
>>
>>а КТО является доверяймым авторити _изначально_ ???? %)
>>
>>уж не веризон ли??? :D
>>
>>че-то у меня лично к Мозилла corp. больше доверия, чем к "изначальному
>>авторити" этому %)
>А просмотреть корневые центры в браузере религия не позволяет? Из там несколько
>десятков. Верисайн просто самый раскрученный и наверное самый универсальный (или один
>из).при чем тут религия?
Меня интересует КТО признал и веризон и кого-бы-там-ни-было-еще
корневыми авторити? :) Вопрос ясен?Почему именно ИМ я должен доверять, а не, скажем, Мозилле или дяде Васе из дома напротив?
Они все умеют генерить сертификаты, и сертификаты эти работают и ничуть не хуже остальных.КТО сказал, что те, кто щас в списке в браузере - действительно некие незаменимые авторитеты?
>[оверквотинг удален]
>Меня интересует КТО признал и веризон и кого-бы-там-ни-было-еще
>корневыми авторити? :) Вопрос ясен?
>
>Почему именно ИМ я должен доверять, а не, скажем, Мозилле или дяде
>Васе из дома напротив?
>Они все умеют генерить сертификаты, и сертификаты эти работают и ничуть не
>хуже остальных.
>
>КТО сказал, что те, кто щас в списке в браузере - действительно
>некие незаменимые авторитеты?Я так понимаю, что любая организация может поднять у себя соответствующий сервис (генерить сертификаты - это малая толика нужного), пройти некую сертификацию, договориться с производителями браузеров и продавать соответствующие услуги. Кстати это всё недешёвое удовольствие.
Кстати, если вы посмотрите список, то заметите, что перечень типов сертификатов, выдаваемых этими центрами различен.
>Я так понимаю, что любая организация может поднять у себя соответствующий сервис
>(генерить сертификаты - это малая толика нужного), пройти некую сертификацию, договориться
>с производителями браузеров и продавать соответствующие услуги. Кстати это всё недешёвое
>удовольствие.вот и всё.
Все эти корневые "авторити" просто так взяли и решили быть авторити.
А раз так - то любая другая контора заслуживает этого не меньше.За сим, самоподписанный сертификат Мозиллы заслуживает не меньшего доверия.
И чтоб пользователям Фаерфокса не лицезреть маты о таких сертификатах - нужно просто
включить его в список доверенных в Фаерфоксе и не выламывать никому руки немерянными платежами по этим сертификатам.
>Кстати, если вы посмотрите список, то заметите, что перечень типов сертификатов, выдаваемых
>этими центрами различен.я тоже могу нагенерить пачку сертификатов. Мозилла и Редхат может.
Все мы при этом запросто будем пользовать одно и то же - openssl.Разница между этими конторами и "доверенными" - та, что эти "доверенные" просто
кому-то где-то что-то проплатили. И лишь из-за этого я им буду больше доверять??
Смешно :)
>вот и всё.
>Все эти корневые "авторити" просто так взяли и решили быть авторити.
>А раз так - то любая другая контора заслуживает этого не меньше.
>За сим, самоподписанный сертификат Мозиллы заслуживает не меньшего доверия.
>И чтоб пользователям Фаерфокса не лицезреть маты о таких сертификатах - нужно
>просто
>включить его в список доверенных в Фаерфоксе и не выламывать никому руки
>немерянными платежами по этим сертификатам.Когда самодписной сертификат мозилы будет использовать сертифицированное в отрасли ПО и иметь всю инфраструктуру для проверки этих сертификатов, а также весь необходимый менеджмент для работы с клиентами + быть в списке доверенных центров различном ПО - конечно.
>я тоже могу нагенерить пачку сертификатов. Мозилла и Редхат может.
>Все мы при этом запросто будем пользовать одно и то же -
>openssl.
>
>Разница между этими конторами и "доверенными" - та, что эти "доверенные" просто
>
>кому-то где-то что-то проплатили. И лишь из-за этого я им буду больше
>доверять??
>Смешно :)Ну положим вы не любые сертификаты нагенерите, а разница, как я уже с казал - в инфраструктуре и поддержке ПО которое этими сертификатами пользуется.
>Разница между этими конторами и "доверенными" - та, что эти "доверенные" просто
>кому-то где-то что-то проплатили. И лишь из-за этого я им буду больше
>доверять??
>Смешно :)Глупости говорите. Для Веризона и остальных доверенных корневых центров сертификаты - очень важное дело. Они проверяют владельцев, могут оперативно отзывать скомпрометированные сертификаты. Любой прокол серьёзно сказывается на их репутации и ведёт к разорению. А что можете вы? Вот лично я больше доверяю Веризону, чем вам. А вы, в свою очередь, можете доверять кому угодно.
Если вебмастеру надо безопасность сайта только для себя, то конечно можно создать
самоподписанный сертификат и наслаждаться. А для остальных пользователей это не канает.
Кстати, мой опыт показывает, что большинство украинских контор после ввода сертификатов забивает на это дело. Например, я недавно встречал сертификат, срок действия которого закончился в 2001 году! И он до сих пор применяется в продакшн-системе. Веризон такой фигни вам скорее всего не позволит.
>Вот лично я больше доверяю Веризону, чем вам.аналогично.
>А вы, в свою очередь, можете доверять кому угодно.
>Если вебмастеру надо безопасность сайта только для себя, то конечно можно создать
>
>самоподписанный сертификат и наслаждаться. А для остальных пользователей это не канает.
>Кстати, мой опыт показывает, что большинство украинских контор после ввода сертификатов забивает
>на это дело. Например, я недавно встречал сертификат, срок действия которого
>закончился в 2001 году! И он до сих пор применяется в
>продакшн-системе.Говоря о заграничной компании и украинском сайте... вы нигде не чуствуете подвоха?
С какой радости обеспечение безопасности нашего (будем говорить, он все-таки, ближе к
нам, чем веризон) сайта мы возложим на заграничную контору, стандарты которой вряд ли
соответствуют требованиям стран СНГ.
В том то и дело, что в таком случае доверия ровно одинаково. И проблема лишь в том, что ругается браузер, лишь (по-факту) создавая дискомфорт в работе пользователя.
>Веризон такой фигни вам скорее всего не позволит.А вот это вот уже совсем пофигу, что мне там попытается не позволить забугорная контора.
Мне кажется, что вы находитесь во власти иллюзий по поводу этой иностранной конторы.