Re: šfirovaná HTTP (+FTP) proxy

[Pavel Kankovsky]

On Fri, 14 Jun 2002, Zdenek Mazanec wrote:

> > Narozdil od pouzivani certifikatu jiste nejmenovane zamorske CA, ktera je
> > tak user-friendly, ze vyda certifikat na libovolne jmeno skoro kazdemu,
> > kdo o sobe prohlasi, ze ma s tim jmenem neco spolecneho? ;)
> 
> :-) Takova CA by nemela mit certifikat v kazdem prohlizeci, to je imho
> selhani spolecnosti, ne systemu. Ale vazne, nevim, kterou spolecnost mate na
> mysli, nicmene pripoustim, ze vydavani certifikatu "na dalku" ma z principu
> sve mouchy.

Je to selhani systemu, protoze jak se jednou nekdo dostane na "seznam
vyvolenych CA" (a opravdu by mne zajimalo, kdo a jak rozhoduje, kdo na ten
seznam patri a kdo ne), tak ma vicemene neomezenou moc vydavat certifikaty
potvrzujici uplne cokoli, ktera neni nejak rozumne casove ci prostorove
regulovana.

(Co se tyce toho pripadu, co jsem naznacoval, tak jsem -- trochu zvelicene
-- narazel na pripad Verisign a Microsoft. Kdyz nekdo vyda bez patricneho
provereni certifikat pro takove "high profile" jmeno, tak se clovek musi
ptat, jak by na tom byl obycejny obcan, ktery by cerifikaty chtel pouzivat
k ukonum, u kterych o neco jde -- a kdyz o nic nejde, tak nema smysl se
s tim trapit.)

> Porad si ale myslim, ze oficialne nasazene certifikaty by _mely_
> byt podepsane nekym, kdo ma svuj vlastni certifikat v "defaultni" sade
> distribuovane  kazdym trosku pouzivanym prohlizecem/emailovym klientem a
> buhvi cim vsim jeste.

"Oficialne nasazene certifikaty" musi odpovidat nasemu zakonu o
elektronickem podpisu a provadecim vyhlaskam. A splneni (a vymahatelnost)
podminek z toho vyplyvajicich je u "standardnich" certifikacnich autorit
z ruznych duvodu malo pravdepodobne.

Nicmene v pripadnem flamewaru doporucuji pokracovat na vhodnejsim foru.
Treba na security na underground.cz.

--Pavel Kankovsky aka Peak  [ Boycott Microsoft--http://www.vcnet.com/bms ]
"Resistance is futile. Open your source code and prepare for assimilation."