Alexey Pechnikov пишет:
Проблема в том, что в настоящий момент клиенты вам доверяют(или вынуждены доверять), а в общем случае не должны и ваш вариант работать не будет.AP> А как посмотреть список _действующих_ сертификатов? Что значит "список"? В случае с PKI такого понятия, в общем, не существует. Нету некоего "общего списка". Хотя конкретный CA вполне может держать список выданных им сертификатов. openssl ca так и делает.Не знал, выходит, вопрос получения списка актуальных сертификатов и списка аннулированных решается. В таком случае да, имеет смысл делать свой центр сертификации. Хотя и хорошо, что есть вариант переложить эти заботы на долю OpenVPN-сервера, как я и делаю в настоящий момент.
Вопрос - что следует сделать, чтобы клиенты имели доступ к такому центру сертификации из браузеров Mozilla & IE 6 и выше? Это шире той задачи, которую мы обсуждали, но раз все так хорошо...Мы поставляем программное обеспечение в систему, работающую таким образом. И нет, это далеко не лавочка на три конторы, там все гораздо серьезнее. Только нюанс - алгоритмы должны быть российскими...Насчет "лавочки" я кой-что слышал, тут вопросов нет. А вот юридический статус в вашем варианте реализации отличен от того, что вы говорите. Это связано с тем, что сертифицированные криптосистемы имеют определенный юридический статус, а обсуждаемое решение на OpenVPN с использованием несертифицированных алгоритмов такого статуса не имеет. Как я понимаю, в последних версиях openssl российские криптоалгоритмы реализованы, хотелось бы узнать, готовы ли они для промышленного использования или еще нет? И можно ли в OpenVPN использовать российские алгоритмы?
А причём здесь "юридический статус сертифицированных криптосистем"?Если админ криво настроил продукт, но продукт имеет сертификат, то при взломе (или каком другом инциденте) сертификатом будет прикрыта жопа админа или его конторы, так что ли? В нынешнем виде система сертификации не что иное как поле для всевозможных спекуляций и коррупции (imho).