1) Pridat do apache podporu openpgp auth, cili vlastni kompilace (auth_openpgp jsem nenasel ani jako USE flag ani jako specialni balik v gentoo, ani v debianu). Vlastni kompilace neni problem, ale ma nevyhodu: nemuzu si byt jisty bezpecnosti, kdyz si napr. v debianu pridam tuhle podporu - debiani apache je sledovany a aktualizovany
2) Premluvit uzivatele, aby pouzivali prohlizec, ktery tento typ auth podporuje, cili napr. FF s rozsirenim. Pokud jsem dobre videl, tak priklad byl pouze s FF. Funguje tak i MSIE, Opera, Konqueror a ja nevim, co kazdy muze jeste pouzivat?
Pro uzivatele to znamena:
Musi byt omezeny na nejaky prohlizec, ktery umoznuje GPG podepisovani.
Jaky je pritom rozdil od klasickeho x509? Bud si necham zadarmo vystavit certifikat (napr. www.cacert.org mam uz v Gentoo certifikatech), nebo si muzu vytvorit self-signed certifikat podobne jednoduse, jako v opengpg. Nejspis ale budu mit vlastni CA a budu vydavat vlastni certifikaty ke svoji aplikaci. Navic kdyz bude pozadavek na kvalifikovany certifikaty, tak jenom zmenim CA certifikat a funguje to dal.
GPG mam rad, ale zatim se mi tohle reseni zda narocnejsi nez x509. Kdyby to vyzadovalo jenom prekompilovani modulu, tak to neni problem - kdyz to admin bude chtit, tak to pouzije. Ale tady je dulezita souhra admina i uzivatelu.
A proč na tom intranetu nepoužít SSL certifikáty a vlastní certifikační autoritu? Nevidím jediný důvod. Použiji standard dostupný ve všech prohlížečích, nemusím nic doinstalovávat, je to prověřené řešení, na rozdíl od nějakého HTTP-PGP.
Suhlas. K takejto myslienke sa moze uchylit iba clovek, ktory sa myslienkami pohybuje v rozsahu ja a franta mame server a funguje nam to. Na certifikacnu autoritu iba mlati hubou a neuvedomi si, ze overenie stotisicov klientov sa vdaka CA da vykonavat proti jedinemu certifikatu.
I v OpenPGP mohu použít něco jako CA. Sto tisíc veřejných OpenPGP klíčů může být podepsaných jedinou autoritou. Je to otázka domluvy / nasazení. U klíčů zaměstnanců mohu například vyžadovat podpis personálního oddělení. Součástí OpenPGP "certifikátů" může být navíc třeba fotografie vlastníka, podpisy jiných oddělení, …
Enigform je sice technicky zajímavé řešení, ale postrádá smysl (za SSL certifikáty platit nemusím, stejně jako nemusím platit za PGP klíče) a uživatel je omezen na jeden konkrétní prohlížeč (to přece nechceme, ne?)