<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN">

<html>

<head>

  <meta content="text/html;charset=UTF-8" http-equiv="Content-Type">

</head>

<body bgcolor="#ffffff" text="#000000">

Apache web servers come many times with a CA bundle installed (mostly

Linux distributions). This is usually a dump from the NSS (Mozilla)

store. One can add easily more PEM encoded certificate to that bundle -

all the ones you want to trust. Implementation can require valid

certificates traceable back to a root in the CA bundle.<br>

<br>

I don't know much about IIS (anymore), but I guess the same could be

possible there, using the local machine store.<br>

<br>

Eric Norman wrote:

<blockquote cite="mid:b2875a35c8c7a71041d7cf5d417b1891@doit.wisc.edu"

 type="cite">

  <pre wrap="">On Jul 20, 2007, at 8:30 AM, Johnathan Nightingale wrote:

  </pre>

  <blockquote type="cite">

    <pre wrap="">As Dmitry observes, the protection it offers is useless if there are 

http (i.e. non-SSL/TLS) links in the chain.

    </pre>

  </blockquote>

  <pre wrap=""><!---->

True enough.  But there's more.  Many will argue that such

protection is also useless unless the correct trust anchors

(some folks call them "root" certificates) are deployed at

the correct places.  This is far easier to say then accomplish.

Eric Norman

<a class="moz-txt-link-freetext" href="http://ejnorman.blogspot.com">http://ejnorman.blogspot.com</a>

_______________________________________________

security mailing list

<a class="moz-txt-link-abbreviated" href="mailto:security@openid.net">security@openid.net</a>

<a class="moz-txt-link-freetext" href="http://openid.net/mailman/listinfo/security">http://openid.net/mailman/listinfo/security</a>

  </pre>

</blockquote>

<br>

<div class="moz-signature">-- <br>

<div><font face="Arial" size="2">Regards</font></div>

<div><font face="Arial" size="2"> </font></div>

<div><font face="Arial" size="2">Signer:      Eddy Nigg, StartCom Ltd.</font></div>

<div><font face="Arial" size="2">Jabber:      <a class="moz-txt-link-abbreviated" href="mailto:startcom@startcom.org">startcom@startcom.org</a></font></div>

<div><font face="Arial" size="2">Phone:       +1.213.341.0390</font></div>

</div>

</body>

</html>