Użytkownik "Marek" napisał w wiadomości grup
dyskusyjnych:kb6p56$5go$1_at_node1.news.atman.pl...
>
>W dniu 2012-12-22 21:20, Piotr B. (pb2004) pisze:
>
>>
>> Akurat powyższe to feature nie bug. Ze względów bezpieczeństwa nie
>> powinna istnieć możliwość zaufania certyfikatowi z poziomu przeglądarki.
>>
>
>Czyli jeśli masz N domen i stawiałbyś dla nich CMSy z szyfrowanym dostępem
>do części redakcyjnej, to dla każdej z tych domen kupowałbyś oddzielny IP
>oraz abonament kilkuset złotowy za każdy certyfikat?
Nie wiem o czym piszesz. Jakie oddzielne IP? Co ma w ogóle IP do certyfikatu
serwera? Certyfikat jest wystawiany dla domen/grup domen. Np. Wikipedia ma
wystawiony dla *.wikipedia.org. I tak certyfikat jest dla konkretnej domeny
i przeglądarka nie powinna umożliwiać ignorowanie faktu niezgodności tejże.
>Nie lepiej kupić jeden certyfikat dla jednej domeny i współdzielić go na
>wspólnym IP?
To zależy co chcesz osiągnąć. Zresztą nie wiem co to ma wspólnego z
prawidłowym zachowaniem przeglądarki. Przeglądarka nie powinna umożliwiać
dodawania wyjątków. Chcesz aby nie było ostrzeżeń dodaj certyfikat wystawcy
do zaufanych w systemowym magazynie certyfikatów.
>
>Albo drugi przypadek z życia wzięty: klient chce dostęp szyfrowany do
>poczty i kompletnie nie zależy mu na posiadaniu własnego certyfikatu (bo to
>zbyt droga zabawa). Dla niego ważne jest aby dane nie leciały kablem gołym
>tekstem. Czy w związku z tym należy mu utrudnić życie i nie pozwolić na
>zaufanie certyfikatowi przypisanemu do serwera?
>
Tak, należy mu utrudnić maksymalnie jak się da. Zaufanie do serwera to
poważna sprawa nie zabawa w dwa kliki myszą w celu utworzenia wyjątku dla
losowego certyfikatu serwera.
-- Piotr BorkowskiReceived on Sun 23 Dec 2012 - 20:05:02 MET
To archiwum zosta³o wygenerowane przez hypermail 2.2.0 : Sun 23 Dec 2012 - 20:42:01 MET