Днес изтичаше срока на валидност на x.509 сертификатите ми. Не са издадени нито от Информационно обслужване, нито от Банксервиз, разбира се. Съжалявам много – моите (не)уважения и към двете компании, но технологично не приемам, че те предлагат удостоверителни услуги към този момент от време. Законово може и да са, технологично обаче търпят критика, а аз не правя компромиси с това. Без да правя реклама на бившата ми собствена компания, но OpenIntegra е единствения удостоверител, който технологично е прецизен до съвършенство. И слабо ми пука какво пишело в шибания Закон за електронния подпис.

Secure email решението, което ползвам за личната си поща благодарение на тунелни технологии и X.509 сертификати ми позволява да ползвам точно собствения си SMTP и POP3S сървър без значение в чия мрежа се намирам, зад кой firewall и в кое кътче на планетата съм. Вече повече от година това работи безпогрешно и се надявам скоро OpenIntegra да го обявят като продукт и да раздрусат пазара.

Естествено в последния момент остана да си генерирам нов request и да моля Весо за подпис, а трябваше и да сменим леко концепцията и в средата на упражнението решавам да си взема чаша вода, при което мишката ми пада от бюрото след мен и зад гърба си чувам изписукването на лаптопа, че минава на батерии. Обръщам се и какво да видя, мишката падайки се е приземила точно върху един разклонител, с копче… Точно така, уцелила е копчето, а най-лошото е, че към този разклонител са вързани други два, на които са закачени всички машини вкъщи, рутера, два модема, принт сървъра ми, самия принтер. Изобщо свалих си долу цялата инфраструктура. Не нямам си домашен UPS (все още). При подобно спиране ми трябват някъде около 5-7 минути докато всичко се вдигне отново. За щастие съм си дал зор да го направя така, че да си тръгва само без моя намеса.

Но се издразних от каръка… Не се бях замислил, че едно падане на мишката на пода може да бъде single point of failure. Весо току-що беше мигрирал огледалото на Fedora в СУ и също беше уморен, същевременно бях пуснал да си инсталирам на една от тестовите машини новото FreeBSD 5.3…

Е, всичко е наред всъщност – имам си и нов FreeBSD сървър и нови сертификати, и на пощата ми и се размина без сътресения, ама си легнах в 01:30 и никой да не смее да ме закача с глупости по ICQ днес… Хапя ;)

Написано от Йовко Ламбрев

ИТ и Интернет експерт, предприемач, блогър и фотограф от Пловдив. Фен на WordPress, книгите и музиката. Вярва, че можем да направим света по-добър.

2 коментара

  1. Би ли ми обяснил какво имаш впредвид с това изречение:

    „Съжалявам много – моите (не)уважения и към двете компании, но технологично не приемам, че те предлагат удостоверителни услуги.“

    Отговор

  2. Да – иде реч за огромния проблем, наречен култ към smart-картата и начина на генерирането на двойката ключове – публичния и тайния. Разговарял съм дълго време с много хора от ИО и за жалост виждам, че БанкСервиз следва същите идеи.

    Двойката ключове се генерира от криптопроцесора и се твърди, че тайния ключ, който всъщност удостоверява моята идентичност остава записан там (на картата) и никъде другаде и няма начин да бъде изваден(прочетен) от там. Първо няма сила, която да ме убеди в горното твърдение, просто защото чисто технологично невъзможни неща няма, а най-малкото ако ги няма днес, съвсем не е сигурно че няма да ги има утре. Вторият ми аргумент против е, че всъщност моята идентичност се притежава не от мен, а от носителя (в случая картата), а аз притежавам цифровата си идентичност само индиректно, притежавайки картата, на която е записана. Аз не мога сам да генерирам своя ключ, да изпратя/донеса на негов базис заявка за подпис към вашето CA и да получа сертификат на база моя request, каквато е чистата схема. Счупена е схемата на доверие.

    Да, знам аргументите – че това е по-лесно за user-а, знам че така е по-лесно за вас издателите, знам че това не противоречи на закона и т.н., но не винаги закона и удобството е най-важното. Ако това беше някакво custom CA за конкретно вътрешно-фирмено и ли някакво друго приложение, някак може да се приеме с известни уговорки подобен компромис. В случая обаче вие и ИО сте перфектен издател на удостоверителни услуги според закона, държавата, ако щете дори сред конкуренцията ви в чужбина, но не сте чисти от технологична гледна точка.

    Докато не мога сам да си генерирам ключ, сам да си изпратя заявка и да ви я донеса на дискета примерно за подпис, която да ползвам за свой сертификат и да си го съхранявам както искам (а не само и единствено задължитено на някаква си карта) не приемам продукта ви за технологично чист, особено когато сте привилигеровани да сте някакъв вид обществен гарант на доверие. Всъщност вашият бизнес е да продавате гарантирано доверие, а не да генерирате доверие. Докато горният проблем стои аз не мисля, че имам какво да си купя като продукт в тази му форма.

    Бих си купил единствено сървърен сертификат, защото там процедурата е чиста и при положение, че е такава за сървърните сертификати не разбирам защо да не е такава и за персоналните сертификати – освен, че малко чупи удобството ви при издаването – всички да се третират като еднакво (не)интелигентни клиенти.

    Не мисля, че е редно някой да отнема правото ми аз да нося отговорност за своята дигитална самоличност, с каквито и да е аргументи!

    Иначе, нищо лично – не се засягай! ;)

    Отговор

Ако искате да споделите нещо