Come è consentita la distribuzione dei certificati PKI?

0

Come verificatore della conformità Open Source in codice aperto e proprietario, a volte mi imbatto in tali certificati distribuiti con il codice sorgente (ad esempio link )

Da quello che ho capito l'idea generale di un certificato CA / PKI / SSL (ad esempio, come rilasciato da CACert o Comodo) è che sono usati come una coppia di chiavi pubblica / privata, e quindi sembra ragionevole che una chiave pubblica sia liberamente distribuibile, ma non hanno trovato alcuna opinione sul web per supportare tale visione. Né su siti Web come Wikipedia, StackOverflow, né nella documentazione degli emittenti di certificati privati.

Tali certificati sono effettivamente, o effettivamente, di pubblico dominio; o hanno bisogno di essere autorizzati per la distribuzione pubblica?

    
posta jalanb 13.04.2015 - 18:43
fonte

1 risposta

1

La licenza è specificata nel README.md per il progetto:

The converted file is licensed under the same licenses as the Mozilla source file: MPL 1.1, GPL v2.0 or LGPL 2.1

Pertanto, i certificati non sono di dominio pubblico e sono esplicitamente concessi in licenza per la distribuzione pubblica con più licenze.

In altri progetti, la licenza del file del certificato sarebbe la stessa della licenza per qualsiasi altro file sorgente in quel progetto. Si noti che non si tratta di un'incoerenza se un singolo file viene trovato in più progetti con licenze diverse in quanto l'autore può concedere in licenza il proprio lavoro con più licenze. Nell'esempio precedente, lo stesso file è rilasciato con tre diverse licenze.

Uno sviluppatore sarebbe nei loro diritti per prendere questo file e rilasciarlo sotto una di queste licenze. Ad esempio, è possibile trovarlo solo in Project A con licenza MPL 1.1 e Project B su licenza GPL v2.0. Questo è perfetto se il file del certificato è stato preso da questo particolare progetto, poiché è esplicitamente rilasciato in tutti e tre.

Si noti che in questo caso, lo sviluppatore ha appena estratto i certificati da Mozilla e li ha rilasciati come progetto autonomo con le stesse licenze specificate dal progetto Mozilla. Avrebbe potuto fare lo stesso, scegliendo una sola licenza, o avrebbe potuto portarli direttamente in qualsiasi progetto che fosse compatibile con MPL 1.1, GPL v2.0 o LGPL 2.1. In questo caso, il file verrà concesso in licenza (se acquisito da lì) solo sotto la relativa licenza.

    
risposta data 13.04.2015 - 19:25
fonte

Leggi altre domande sui tag