> Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены > доверять), а в общем случае не должны и ваш вариант работать не будет.
Года два я пользую это решение исключительно для нужд команды разработки, а сейчас речь идет о запуске именно для пользователей, потому и появились вопросы. Маны читал, но мало себе представлял, как они соотносятся с отечественной действительностью. С аппаратной криптацией все просто - звонишь в ФСБ по ПФО ответственному за этот вопрос человеку, он называет сертифицированное оборудование и поставщика. Но сейчас для моих проектов такой уровень не нужен, а по софтверной реализации специалистов в местных госструктурах я не знаю, не уверен даже, есть ли они в нашем регионе, хотя прошло уже года два с тех пор, когда я с этим сталкивался в последний раз, может, уже и есть. > А причём здесь "юридический статус сертифицированных криптосистем"? > Если админ криво настроил продукт, но продукт имеет сертификат, то при > взломе (или каком другом инциденте) сертификатом будет прикрыта жопа админа > или его конторы, так что ли? Юридический статус в первую очередь интересует юридический и ИТ-департамент заказчика. Есть вариант использовать несертифицированное решение, но тогда я о нем не могу даже упоминать в договорах - тот случай, когда есть де-факто, но отсутствует де-юре, и ничего не выигрываю от этого (сейчас SSL так и использую). > В нынешнем виде система сертификации не что иное как поле для всевозможных > спекуляций и коррупции (imho). Мне тоже так кажется, и это напрочь отбивает желание сертифицировать свой продукт. Хотя, возможно, придется. Если кто уже прошел этот путь, поделитесь опытом.
