Ho un servizio tramite SSL che fornisce all'utente un codice per un motivo specifico. Voglio firmare il codice con la chiave privata del server web ( gpg --clearsign
) e inviare il codice firmato in modo che possano verificare la sua origine dopo che hanno lasciato il mio sito.
Purtroppo ho ricevuto l'errore:
gpg: WARNING: This key is not certified with a trusted signature!
gpg: There is no indication that the signature belongs to the owner.
Capisco approssimativamente cosa significa, anche se non sono sicuro di un metodo per fornire la chiave pubblica del mio server pur mantenendo la fiducia.
Devo "firmare" la chiave pubblica che viene esportata (e quindi fornita all'utente) con l'utente a cui è stata esportata?
Quali sono alcuni semplici metodi per fornire questo trust?
Ho letto dei keyserver e francamente non è davvero un'opzione per me, non sono sicuro di come posso farlo funzionare.