Vydavatel serverovych certifikatu
Pavel Kankovsky
peak na argo.troja.mff.cuni.cz
Čtvrtek Červenec 24 21:28:04 CEST 2008
On Tue, 22 Jul 2008, Pavel Lisy wrote:
> 2. Je mozne si nechat nejakou spolecnosti, jejiž CA certifikaty jsou
> defaultne v systemech (linux, windows, ...) pritomny, vygenerovat
> vlastni CA certifikat a s nim si pak podepisovat sve odvozene? Z toho co
> jsem zatim prohledal se zda, ze nikdo nic podobneho nenabizi. Zrejme
> nejen z financnich ale i principialnich duvodu (nemohou rucit za
> spolehlivost takto odvozene autority?)
Technicky by to snad i šlo, kdyby té podřízené CA dali name constraint,
aby si mohla hrát jen na svém vlastním písečku. Ale asi se do toho nikomu
nechce.
On Wed, 23 Jul 2008, Karel Salavec wrote:
> Takto presne ne, ale napr. probirany GoDaddy nabizi certifikaty ve verzich
> single, UCC (AKA Multiple Domain) a Unlimited Subdomains (Wildcard)
Těmi wildcardy to sice můžete tak nějak odsimulovat, ovšem znamená to, že
by všichni museli mít přístup k tomu jednomu privátnímu klíči, pro který
je ten hromadný certifikát vydaný. Trochu moc vajec v jednom košíku.
--
Pavel Kankovsky aka Peak / Jeremiah 9:21 \
"For death is come up into our MS Windows(tm)..." \ 21th century edition /
Další informace o konferenci Linux