(no subject)
Nov. 22nd, 2003 16:39![[personal profile]](https://www.dreamwidth.org/img/silk/identity/user.png){kind=small}
nepilsonisЧитаю я это http://bugzilla.mozilla.org/show_bug.cgi?id=215243, и никак понять не могу, среди митинговых лозунгов понять принцип действия. Когда коммерческая организация за деньги проверяет регистрационные документы фирмы - это понятно. Понятно так же и то, что в случае недобросовестной работы фирма должна заплатить по суду за недоброкачественную работу. А потому проверяют они по документам, для чего содержат по всему миру множество людей, каждый из которых, в свою очередь, несёт, как минимум, финансовую, а часто и уголовную ответственность за правильность предоставленной информации.
Чтобы Thawte подписал сертификат для фирмы - нужно предъявить регистрационное свидетельство, подтверждение на право использования домена, а иногда и ещё какие-то документы.
Для подтверждение личности надо предъявить документ, удостоверяющий личность.
Вспомним, для чего вообще нужны пресловутые root CA, да ещё и включённые в комплект программы пр и поставке? Всего навсего для того, чотбы программа ничего не говорила, если некто предъявит сертификат, в начале цепочки доверия которого стоит один из этих самых root CA. Которые, тем самым, подтверждают, что тот, кто сейчас предъявляет себе свой сертификат - именно тот, кто и записан в сертификате.
Почему этому можно верить - см. выше.
Если же я не хочу платить - я сам подписываю свой сертификат, и неким способом, который считаю достаточно защищённым, передаю пользователю свой собственный корневой сертификат. А пользователь сам может добавить его в набор своих доверенных сертификатов - после чего он ничем не хуже других, идущих в комплекте с программой изначально. Не такой уж сложный процесс.
А теперь объясниет мне, каким образом некоммерческая организация может убедиться в том, что Я - именно тот, за кого себя выдаю? Для неё Я - лишь набор символов, пришедших с некоторого интернет-адреса. Как они проверят, что я - именно Анастасия Понеяд, как сам написал, а не Абу Али ибн Сина. Или наоборот.
Программы OpenSource делаются авторами либо для себя, либо потому, что им интересно это делать. При этом, как показывает мой личный опыт, приемлимое качество у подобных продуктов встречается у совершенно ничтожного количества проектов из всех существующих.
А кто и каким образом будет проверять простых людей? Кто-то из любви к идее свободы будет проверять документы у меня или у фирмы? А какую он будет нести ответственность за обман? Его выгонят, и где-то в интернете напишут, что он был не совсем честен?
Нет, знаете, спасибо.
Я лучше ручками добавлю сертификат своего знакомого. Или веб-сервиса, с которым я всё равно судиться не буду, потому что не доверю интернету в тех делах, в которых стоимость судебного процесса может быть меньше моего иска.
А когда речь идёт о вещах сильно денежных - вроде internet-bank, или ebay какой - то пусть платят коммерческому регистратору. У них предприятие, на прибыль ориентированное, а сертификат стоит не так и дорого - порядка 300$ за 2 года, если я не путаю. Не обеднеют.
С другой стороны, миллиарды мух не могут ошибаться. Видимо, я чего-то не понял.
Где я ошибся?
Чтобы Thawte подписал сертификат для фирмы - нужно предъявить регистрационное свидетельство, подтверждение на право использования домена, а иногда и ещё какие-то документы.
Для подтверждение личности надо предъявить документ, удостоверяющий личность.
Вспомним, для чего вообще нужны пресловутые root CA, да ещё и включённые в комплект программы пр и поставке? Всего навсего для того, чотбы программа ничего не говорила, если некто предъявит сертификат, в начале цепочки доверия которого стоит один из этих самых root CA. Которые, тем самым, подтверждают, что тот, кто сейчас предъявляет себе свой сертификат - именно тот, кто и записан в сертификате.
Почему этому можно верить - см. выше.
Если же я не хочу платить - я сам подписываю свой сертификат, и неким способом, который считаю достаточно защищённым, передаю пользователю свой собственный корневой сертификат. А пользователь сам может добавить его в набор своих доверенных сертификатов - после чего он ничем не хуже других, идущих в комплекте с программой изначально. Не такой уж сложный процесс.
А теперь объясниет мне, каким образом некоммерческая организация может убедиться в том, что Я - именно тот, за кого себя выдаю? Для неё Я - лишь набор символов, пришедших с некоторого интернет-адреса. Как они проверят, что я - именно Анастасия Понеяд, как сам написал, а не Абу Али ибн Сина. Или наоборот.
Программы OpenSource делаются авторами либо для себя, либо потому, что им интересно это делать. При этом, как показывает мой личный опыт, приемлимое качество у подобных продуктов встречается у совершенно ничтожного количества проектов из всех существующих.
А кто и каким образом будет проверять простых людей? Кто-то из любви к идее свободы будет проверять документы у меня или у фирмы? А какую он будет нести ответственность за обман? Его выгонят, и где-то в интернете напишут, что он был не совсем честен?
Нет, знаете, спасибо.
Я лучше ручками добавлю сертификат своего знакомого. Или веб-сервиса, с которым я всё равно судиться не буду, потому что не доверю интернету в тех делах, в которых стоимость судебного процесса может быть меньше моего иска.
А когда речь идёт о вещах сильно денежных - вроде internet-bank, или ebay какой - то пусть платят коммерческому регистратору. У них предприятие, на прибыль ориентированное, а сертификат стоит не так и дорого - порядка 300$ за 2 года, если я не путаю. Не обеднеют.
С другой стороны, миллиарды мух не могут ошибаться. Видимо, я чего-то не понял.
Где я ошибся?
![[identity profile]](https://www.dreamwidth.org/img/silk/identity/openid.png){kind=small}
no subject
Date: 2003-11-24 04:27 (UTC)http://www.livejournal.com/users/kunaifusu/46079.html?style=mine#cutid1