Сразу видно, что ты никогда не связывался с SSL сертификацией, или же с цифровой подписью софта. Мало того, что сам сертификат стоит порядка 1000, так потом выясняется, что получить его ты мог только если использовал бразуер определенной версии с определенной настройкой, ты его перезаказываешь, платишь еще 1000, уже с правильным браузером его таки получаешь. Потом два дня разбираешься с какй же стороны его правильно подписать. А потом твой сайт открывают на каком нибудь маке и он говорит "нифига, я такого сертификата не признаю" - это фишинг!!!
Да, частный сертификат цифровой подписи стоит дешевле, но кому нафиг нужны эти проблемы?
Скрудж, если _я_ хочу убедиться что твой сертификат -- это твой сертификат, то мне не нужен ни броузер ни 1000 баксов. Мы можем подписывать сертификаты друг-друга сами, забесплатно.
И, кстати, я вполне сталкивался с SSL :) Народ ВОВСЮ использует сертификаты, в том числе централизованно распространяемые. Я вот недавно настроил SSL-VPN, естественно на сертификатах. И естественно не потратив ни цента, только операционка на сервере лицензионная (и то, подумываю как раз для этого случая линукс поставить -- он там как раз в тему будет).
Упомянутые сложности возникают когда ты сам хочешь кому-то платить бабки... точнее когда ты сам жаждешь доверять кому-то проверку подлинности. Тогда -- да, плати Verisign-у или прочим центрам.
А проблемы совместимости софта... Во-первых решаются, была бы нужда. Во-вторых, если использовать это только для проверки подписи, то всё, чем ты рискуешь -- разик потерять уверенность в подлинности отправителя. :)
Да видел я подобное, и не раз. А теперь представь, что тебе достаточно в настройках гмейла один раз ткнуть в одну из двух кнопок: "получить новый сертификат для подписи этой учётки" или "upload имеющийся сертификат".
Знаешь, ведь гуглю на самом деле ничего не стОит завести свой центр сертификации. Публичный и бесплатный. Процессорные мощности у них во-первых есть, а во-вторых и так подобным загружены (ну не совсем) -- вся почта давно уже на https, так что процессор выделяет ресурсы и на сложные вычисления, а не только на работу с БД почты и каким-нить XSL-процессором.
А сейчас, как ты знаешь, я работаю _с_ банками. В том числе с интернет-банкингом. У банков много специфики, в том числе банки часто навязывают услугу "оплаченная установка ПО", но я хотел напомнить о другой специфике -- банк может себе позволить сертификат за 1000. Потому этот бизнес и живёт. И ещё потому, что тот же гугль не предоставляет аналогичный сервис забесплатно -- но процессорные мощности дешевеют с каждым годом.
Comments 9
Мало того, что сам сертификат стоит порядка 1000, так потом выясняется, что получить его ты мог только если использовал бразуер определенной версии с определенной настройкой, ты его перезаказываешь, платишь еще 1000, уже с правильным браузером его таки получаешь.
Потом два дня разбираешься с какй же стороны его правильно подписать.
А потом твой сайт открывают на каком нибудь маке и он говорит "нифига, я такого сертификата не признаю" - это фишинг!!!
Да, частный сертификат цифровой подписи стоит дешевле, но кому нафиг нужны эти проблемы?
Reply
И, кстати, я вполне сталкивался с SSL :) Народ ВОВСЮ использует сертификаты, в том числе централизованно распространяемые. Я вот недавно настроил SSL-VPN, естественно на сертификатах. И естественно не потратив ни цента, только операционка на сервере лицензионная (и то, подумываю как раз для этого случая линукс поставить -- он там как раз в тему будет).
Упомянутые сложности возникают когда ты сам хочешь кому-то платить бабки... точнее когда ты сам жаждешь доверять кому-то проверку подлинности. Тогда -- да, плати Verisign-у или прочим центрам.
А проблемы совместимости софта... Во-первых решаются, была бы нужда. Во-вторых, если использовать это только для проверки подписи, то всё, чем ты рискуешь -- разик потерять уверенность в подлинности отправителя. :)
Reply
https://docs.google.com/viewer?url=http://www.universalbank.com.ua/FILES/doc/vypusk_sertificata_z_smart_kartkou.pdf
А теперь представь мне звонит клиент и просит помочь в выполнении этого всего, только вот он сидит под маком
Reply
Reply
А теперь представь, что тебе достаточно в настройках гмейла один раз ткнуть в одну из двух кнопок: "получить новый сертификат для подписи этой учётки" или "upload имеющийся сертификат".
Знаешь, ведь гуглю на самом деле ничего не стОит завести свой центр сертификации. Публичный и бесплатный. Процессорные мощности у них во-первых есть, а во-вторых и так подобным загружены (ну не совсем) -- вся почта давно уже на https, так что процессор выделяет ресурсы и на сложные вычисления, а не только на работу с БД почты и каким-нить XSL-процессором.
Reply
А сейчас, как ты знаешь, я работаю _с_ банками. В том числе с интернет-банкингом. У банков много специфики, в том числе банки часто навязывают услугу "оплаченная установка ПО", но я хотел напомнить о другой специфике -- банк может себе позволить сертификат за 1000. Потому этот бизнес и живёт. И ещё потому, что тот же гугль не предоставляет аналогичный сервис забесплатно -- но процессорные мощности дешевеют с каждым годом.
Reply
Leave a comment