Re: curl и самоподписанные сертификаты

[Victor Wagner <vitus@wagner.pp.ru>]

On 2010.12.16 at 17:02:54 +0300, Ed wrote:

> Victor Wagner wrote:
>>> Купленный за $k и сделанный командой ssl ничем не отличаются, кроме 
>>> того  
>>
>> Это если уметь "командой ssl" пользоваться. По умолчанию скрипты,
>> которые идут в комплекте OpenSSL делают допотопные сертификаты X509v1,
>> кладут email в Distinguisted Name, что deprecated (но для того чтобы
>> положить его в правильное место - расширение subjectAltName нужно делать
>> сертификат X509v3) и не умеют русских букв в полях Distinguished Name.
>
> а чем это плохо?
> с первого взгляда это скорее косметические недостатки.

Ну не то, чтобы это было невыносимо плохо, но вопрос был "а чем
отличаются", а не "а чем хуже".

То что правильно сделанный X509v3 самоподписанный сертификат 
в XP установится в правильный certificate store автоматически - уже
большой плюс, если у вас есть пользователи, использующие XP.

То что в X509v3 можно прописать crlDistrbutionPoints и
AuthorityInfoAccess - тоже плюс.