Administrace komentářů

Hned první věta obsahuje rozpor. Jestliže certifikát té autority není součástí standardního balíku certifikátů, pak to není dobrá autorita a není to tedy ani jedna z nejlepších. Naopak je v podstatě k ničemu. Pro amatérské použití provozuji vlastní autoritu a okruh uživatelů je dostatečně malý, abych byl schopen její certifikát distribuovat, a nemám tedy nejmenší důvod používat cacert. Pro veřejné použití je pak pseudoautorita, která v 99% prohlížečů, Jabber klientů a mailových klientů bude způsobovat červené varovné hlášky, úplně k ničemu. Nemá smysl takovou autoritou ztrácet čas. První možnost je vyrobit si amatérskou autoritu pomocí OpenSSL a Makefile (jeden jsem tu nedávno někde postnul). Druhá možnost je pořídit si certifikát od autority, která v distribucích a klientech prostě bude. Nelze si nevšimnout, že cacert kombinuje nevýhody obou řešení a nenabízí výhody ani jednoho z nich. Představa, že nějakého cizího uživatele, který se připojuje k mému serveru, poučuju o certifikátech a nutím instalovat nějaký certifikát autority, je poněkud absurdní.

Alternativou k centralizovaným autoritám rozhodně není amatérský nesmysl cacert.org. Plnohodnotnou alternativou by byl nějaký distribuovaný systém ověření, jaký nedávno zavedl například kernel.org a některé větší linuxové distribuce, tedy systém ve kterém se identita prověřuje postupně na základě setkání a vzájemné komunikace lidí. Zatím asi neexistuje nějaká implementace, kterou by bylo možné snadno uvést do praxe například v klasickém scénáři typu e-shop a zákazníci, ale třeba se jednou podaří najít systém, který i v této situaci bude uspokojivě fungovat. Rozhodně se ale nebude jmenovat cacert.org — tento projekt je prostě beznadějně mrtvý.