On 2010.06.01 at 20:50:03 +0800, Denis Feklushkin wrote: > > Вашему приложению для работы с БД точно надо доверять ВСЕМ > > удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs? > > да, честный сертификат в startcom сделали, его знают все дебианы и убунты из > коробки
Вы подумайте о том, что такое "честный сертификат", что именно он удостоверяет, и надо ли в данном случае ему доверять. И самое главное, всем ли честным сертификатам надо в данном случае доверять. > > есть основания доверят Verisign-у. lynx и wget тоже доверяют этим > > сертификатам. > > > > А авторы PostgreSQL решили что общение клиента БД с сервером БД это > > исключительно внутрикорпоративныи интимный процесс, и негоже доверять > > кому попало в этом вопросе. > > ну там TLS вроде обещан Ну и что что TLS, TLS использует PKI. А PKI на базе одного и того же сертификата X509 можно выстроит разную. Вы не должны в данном случае доверять ВСЕМ сайтам, получивышим честный сертификат, на свете. В данной ситуации гораздо более ооправдано использовать свой собственный удостовенряющий центр, сертификат которого поместить в ~/.postgresql/root.crt и доверять только выписанным им (то есть вами собственноручно) сертификатам. И никаким starcom-ам не доверять. -- To UNSUBSCRIBE, email to [email protected] with a subject of "unsubscribe". Trouble? Contact [email protected] Archive: http://lists.debian.org/[email protected]
