On 2010.06.01 at 20:56:27 +0800, Denis Feklushkin wrote: > On Tue, 1 Jun 2010 20:50:03 +0800 > Denis Feklushkin <denis.feklush...@gmail.com> wrote: > > > > > жутко неудобно. думал, сделаю на сервере сертификат честный и забуду о > > > > проблеме. ан нет, придётся настраивать всех клиентов > > > > > > Вашему приложению для работы с БД точно надо доверять ВСЕМ > > > удостоверяющим центрам, сертификаты которых есть в /etc/ssl/certs? > > а что такого? там ведь в норме жуликов нет )
Как нет? Там есть Verisign. Это не жулики в общепринятном смысле слова, но политические проститутки. Во время войны в Ираке был случай, когда они перенаправили DNS-ы сайта Аль-Джазиры на сайт с антииракской агитацией. Когда речь идет об американском онлайн-магазине Verisign-у можно додверять. В конце концов, вы при этом рискуеет только деньгьами на кредитной карточке. Да и то не очень - портить репутацию американского же магазина им неинтересно. А когда речь идет о содержимом вашей корпоративной БД, я бы не стал доверять НИКОМУ кроме своих коропоративных сисадминов. То есть в общем-то для разных целей нужно использовать РАЗНЫЕ наборы доверенных сертификатов. И поэтому postgresql не использует умолчательный системный. Не думайте, что авторы PostgreSQL не знают про существование функции SSL_CTX_set_default_verify_paths (тем более что несколько лет назад это место в коде libpq патчил я, а я про эту функцию точно знаю) -- To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org Archive: http://lists.debian.org/20100601133632.gb9...@wagner.pp.ru
