Re: почему psql не юзает /etc/ssl/certs/ ?
On 2010.06.01 at 20:56:27 +0800, Denis Feklushkin wrote:
> On Tue, 1 Jun 2010 20:50:03 +0800
> Denis Feklushkin <denis.feklushkin@gmail.com> wrote:
>
> > > > жутко неудобно. думал, сделаю на сервере сертификат честный и забуду о проблеме. ан нет, придётся настраивать всех клиентов
> > >
> > > Вашему приложению для работы с БД точно надо доверять ВСЕМ
> > > удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs?
>
> а что такого? там ведь в норме жуликов нет )
Как нет? Там есть Verisign. Это не жулики в общепринятном смысле слова,
но политические проститутки. Во время войны в Ираке был случай, когда
они перенаправили DNS-ы сайта Аль-Джазиры на сайт с антииракской
агитацией.
Когда речь идет об американском онлайн-магазине Verisign-у можно
додверять. В конце концов, вы при этом рискуеет только деньгьами на
кредитной карточке. Да и то не очень - портить репутацию американского
же магазина им неинтересно.
А когда речь идет о содержимом вашей корпоративной БД, я бы не стал
доверять НИКОМУ кроме своих коропоративных сисадминов.
То есть в общем-то для разных целей нужно использовать РАЗНЫЕ наборы
доверенных сертификатов. И поэтому postgresql не использует
умолчательный системный.
Не думайте, что авторы PostgreSQL не знают про существование функции
SSL_CTX_set_default_verify_paths (тем более что несколько лет назад это
место в коде libpq патчил я, а я про эту функцию точно знаю)
Reply to: