да, забыл сцылу указать )

http://habrahabr.ru/blogs/infosecurity/72352/

И этим кто-то пользовался?

>пользуясь случаем и статусом натариуса предлагаю за $500 :)

А кто ты такой? Тебе можно доверять? А чем докажешь?

>Тебе можно доверять? А чем докажешь?

у него двухгодичный сертификат есть

> А кто ты такой? Тебе можно доверять? А чем докажешь?

у него есть сертификат, выданный "нотариусом Thawte" -- тот который он сам себе выдал :)

Вообще конечно отличный бизнес, торговля воздухом. В MS и Adobe хоть и завышенные цены, но что-то материальное они ведь на самом деле производят

Дорогой воздух.

>Вообще конечно отличный бизнес, торговля воздухом. В MS и Adobe хоть и завышенные цены, но что-то материальное они ведь на самом деле производят

Воздух Thawte, которым они торгуют, это доверие к ним, а доверие не так то легко заработать. Унция репутации стоит фунта работы. Как только у них случится прокол контора рискует разорится.

> Воздух Thawte, которым они торгуют, это доверие к ним, а доверие не так то легко заработать.

при чём здесь доверие. Лично я им не доверялся. Просто они проплатили всем основным производителям браузеров чтобы их считали "Root CA". Это начальное вложение капитала. А сейчас при абсолютно нулевой себестоимости гребут деньги. Они даже софт для генерации сертификатов не покупали и не разрабатывали.

Они еще меняют свои Freemail-ные сертификаты на годичные Verisign ($19) на халяву.

>у него двухгодичный сертификат есть

Это значит, что он купил сертификат Thawte и больше ничего.
Дальше что?

> Как только у них случится прокол контора рискует разорится.

так откуда взяться проколу? они проверяют что ты действительно владеешь DNS-записью соответствующего сайта. Операция простая и однозначная. Неужели был хоть один случай "прокола" с какой-нибудь аналогичной шарашкой? (недавний случай с нулями в имени сайта не в счёт -- сертификаты там были правильные, баг в браузерах).

Сначала на днях понадобилось создать новый сертификат, на сайте было написано что бесплатно больше не предоставляют. А потом и на почту пришло сообщение о закрытии WoT. Пришлось переехать на сертификаты от comodo.com, их центры сертификации тоже авторизованы со всем софтом.

продаю лицензию на хз какую прогу, но она действительно работает и сделает вас счастливым

не сетевой маркетинг, нивкоемслучае

Вот-вот.

Люди совершенно не думают, чьими подписями подписан их сертификат, чьи сертификаты и публичные ключи лежат у них в keystore. Доверяют каким-то левым людям, у которых выправлена правильная бумажка с печатью.

Пиндык.

>так откуда взяться проколу? они проверяют что ты действительно владеешь DNS-записью соответствующего сайта. Операция простая и однозначная. Неужели был хоть один случай "прокола" с какой-нибудь аналогичной шарашкой? (недавний случай с нулями в имени сайта не в счёт -- сертификаты там были правильные, баг в браузерах).

А если серваки пиндыкнутся, хотя бы на часок? А если пиндыкнутся серваки у провайдера? Твои-то в порядке, но они недоступны. Где-то юзеры не попадут на сайты своих банков и заплачут.

> Люди совершенно не думают, чьими подписями подписан их сертификат

а что есть какой-то выбор? Если есть цепочка сертификатов, начинающегося от какого-нибудь RootCA -- то тебе ничего не остаётся как "доверять". Сертификат -- это как паспорт. Менты его постоянно проверяют, хотя его наличие и валидность ни разу не гарантирует что владелец -- честный человек.

>а что есть какой-то выбор?

Выбор всегда есть.
Ведь любой скомпрометированный подписчик в цепочке сертификатов автоматически обнуляет свою подпись на подписанных им сертификатах у других.

Поэтому сертификат организации (к примеру) нужно заверять у действительно надёжных/доверяемых центров сертификации (CA), а не у каких-то посторонних людей, имеющих заверенный купленной подписью сертификат — организация всегда "под ударом" и является крайней в цепочке сертификации (не считая её работников).

> А если серваки пиндыкнутся, хотя бы на часок?

ты хочешь сказать что те кто подписывают сертификаты должны тратиться на дорогостоящую инфраструктуру? Ты ошибаешься, это не так работает: для того чтобы ставить свою подпись под сертификатами достаточно иметь слабенький небук поключеный по dialup (чтобы по email принимать заказы и рассылать подписанные сертификаты). После этого сайт который хочет подтвердить свою "законность" посылает клиентам подписанный мной сертификат, и в добавок к нему всю цепочку сертификатов начиная от RootCA до меня чтобы подтвердить что я имею право подписывать. В браузере хранится RootCA, он проверяет всю цепочку от него и до "подозрительного сайта". Как видно, моё участие вовсе не требуется.

>при чём здесь доверие. Лично я им не доверялся

Им доверяют производители твоих бровзеров. Это им стоит минимум несколько сотен килодолларов ежегодно. Т.ч. про нулевую себестоимость ты поторопился. "Мы" сейчас почти месяц собирали документы для EV сертификата. А они теперь ещё месяц проверять их будут. А "гарантированно честные" люди стоят немало. Хотя да, верисайновские сертификаты неоправданно дороги, т.ч. придётся с тавте расставаться, вероятно.

ты хочешь сказать что те кто подписывают сертификаты должны тратиться на дорогостоящую инфраструктуру?

Да! Почитайте, какую инфраструктуру рекомендует OpenCA. Там сервер с корневым сертификатом должен находиться в ОЧЕНЬ(!) защищенном месте. Козино Лас Вегаса отдыхают... Ну и конечно никакого интернета...

ЗЫ Кстати, надо б сделать кину «38 попугаев друзей Оушена» - о том как они круто корневой серт Тавты добывают.

> Согласно текущему прайс-листу Thawte SSL Web Server Certificate with EV (2-Year) стоит 795 долларов США

Следует учесть, что простой годовой сертификат (без наворотов - только доменное имя) сейчас можно купить за 800 рублей.

>Это значит, что он купил сертификат Thawte и больше ничего. Дальше что?

Это значит, что я имею статус натариуса и сертификат я не покупал, зарабатывал себе оный статус путем "топания ногами" до уже действующих нотариусов за трастпоинтами с предоставлением всяких бумажек в виде копий документов и росписей в дополнительных бумажках.