Vlákno názorů k článku
Jak na OpenSSL

"Filozofie je taková, že do uživatelského SW jsou (pokud možno nějakým bezpečným způsobem) nahrány certifikáty těch autorit, kterým uživatel věří. U browserů se při instalaci automaticky nainstalují i certifikáty důvěryhodných veřejných autorit."

Jen si dovolim upozornit, ze v tomto se skryva pomerne velke riziko, na coz autor bohuzel vubec neupozornil.
Nevim sice presne, jaka je situace dnes, ale mam vazne obavy, ze to, o cem psal na Lupe pred vice nez 2 lety (!) Dan Lukes, je stale aktualni a neskodilo by to pripomenout i dnes:

http://www.lupa.cz/clanek.php3?show=1363

Je v tom riziko v pripade, ze distribuujete software milionum uzivatelu, jako treba u prohlizecu. Proto je zde nutne kontrolovat expiraci. Ale v pripade, ze mate svoji banku, ktera vymeni jednou za 5 let root CT a dam vam ho na diskete nekde na pobocce (nebo nejlepe si ho uz v budoucnu odnesete na smartcart nebo mobilu) a doma si ho nainstalujete, tak v cem je problem? I proto neni chyba (spis je to lenost admina), ze treba ebanka ma expire date prosly. Jak jsem napsal, dulezity je hlavne datum vydani, podle nej se da kontrolovat prolomitelnost root CT.

v kazdem pripade je to exemplarni ostuda pro eBanku ! sice to s timto certifikatem funguje, ale moc duveryhodne to nevypada !!
co jineho by melo byt 100% v poradku kdyz ne tohle ? kdyz je jejich korenovy klic 50 let neplatny, jak na tom budou jine, mene dulezite veci ????
osobne si myslim, ze ten clovek co za tohle muze, uz tam nepracuje... jsem moc zvedavej, jak bude banka za 5 let menit korenovy certifikat... ha ha ha, se z toho poserou, tak to radsi nechaji tak