Re: почему psql не юзает /etc/ssl/certs/ ?
On 2010.06.01 at 20:50:03 +0800, Denis Feklushkin wrote:
> > Вашему приложению для работы с БД точно надо доверять ВСЕМ
> > удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
>
> да, честный сертификат в startcom сделали, его знают все дебианы и убунты из коробки
Вы подумайте о том, что такое "честный сертификат", что именно он
удостоверяет, и надо ли в данном случае ему доверять. И самое главное,
всем ли честным сертификатам надо в данном случае доверять.
> > есть основания доверят Verisign-у. lynx и wget тоже доверяют этим
> > сертификатам.
> >
> > А авторы PostgreSQL решили что общение клиента БД с сервером БД это
> > исключительно внутрикорпоративныи интимный процесс, и негоже доверять
> > кому попало в этом вопросе.
>
> ну там TLS вроде обещан
Ну и что что TLS, TLS использует PKI. А PKI на базе одного и того же
сертификата X509 можно выстроит разную. Вы не должны в данном случае
доверять ВСЕМ сайтам, получивышим честный сертификат, на свете.
В данной ситуации гораздо более ооправдано использовать свой собственный
удостовенряющий центр, сертификат которого поместить в
~/.postgresql/root.crt и доверять только выписанным им (то есть вами
собственноручно) сертификатам.
И никаким starcom-ам не доверять.
Reply to: