> Я имел ввиду нормальные сертификаты, а не all-in-one, wildcard не работает на

что неправильного в сертификате *.mycompany.com и тем более www.mycompany.com /alt:mycompany.com server.mycompany.com etc (а для very-secure-server.mycompany.com - отдельный на отдельном ip)?

> всех клиентах, и каждому сервису не shared сертификат, очень однако большая

лолшта? widcard и alt работает в этой вот мазиле 3.6 - которая понятия не имеет ни о каком sni. Ну, правда, да, а где теперь взять wildcard, если ты не очень большой банк? Да и altnames недешевы и продаются поштучно. Постарался гугель, на славу, все кто мешал тырить траффик, уничтожены.

>> у меня <$1,
> Завидую белой завистью...

aruba за 2евро/мес тебе с адресом еще и vm завернет. Только thinprint читай внимательно, а то будут сюрпризы. ssd штука такая...

>> И знаешь, доложу тебе - непростая это затея, залезть внутрь виртуалки не под распрекрасным
>> лин-oops. То есть она вообще общего решения не имеет, а уж беспалевного - так и вовсе не.
> Я имел ввиду имено хостера у которого есть официальное право шманать виртуалки,

блин. я сам себе хостер, машину отбирают, клиент уезжает, официальное право есть, времени мало. И вот чо делать? Доступ непосредственно внутрь vmdk в вмвари ни разу не предусмотрен.
Скопировать можно - по сети, мээээдлэээнно - команда mount чтобы просто подключить внешний диск или хранилку - тоже ни разу не предусмотрена.
Можно подключить внешнее устройство через usb непосредственно к гостевой системе - это, по факту, оказался самый быстрый способ, но он требует перехвата контроля над гостевой системой - беспалевно этого не сделать.
(надо заметить, что у таких хостеров никакие пароли никуда не вводятся и перехватывать их бестолку - только открытые ключи ssh)

> легально а не хаки со стороны работников и пршмонать конкретную виртуалку
> не такая уж и проблема, тем более что не надо никуда
> и нечего перекачивать, а локальненько...

ну вот есть у тебя доступ, положим, к консоли виртуалки - и чо делать будииим? Пароля-то нет. Ребут? Вызовет вопросы у клиента, кто йта меня перезагружал - с проверкой целостности и т д. А что, если там что-то ценное, на ней нет шифрования хотя бы тем же encfs?

То есть сделать это массово - не получится, можно индивидуально для специальных клиентов, за которых очень попросят - но искать иголку в стоге сена тоже непросто и небыстро, поэтому, повторюсь, пока ты не торгуешь совсем крупными партиями хмурого и не распространяешь запрещенные вооружения - хрен тебя кто вообще подрядится искать.

>> ообще-то для этого достаточно одного, а email-серваку вообще не нужен SSL
> Класс, т.е. боремся за приватность, но вот трафик между серваками пусть смотрят,
> так что ли?

траффик между серверами - пусть смотрят, там нет шибкоумных админчиков с манией величия и васянов, ломанувших свитч на чердаке. Накрайняк зашифруй самоподписанным, все равно никто его проверять не будет. Почта шифруется в клиенте, испокон веку - хошь pgp, именно для почты изначально и изобретенный, хошь s/mime, встроен в аутглюк, если она представляет собой хоть какую-то ценность, так что узнать в любом случае могут только from/to конверта.

>>выключаешь - и избежать. Ну и да - за этот "сервис" тоже скажи спасибо мурзилоглю
> Да, блин, я не говорю о себе и тех кто может это
> сделать, а в глобальном плане...

а в глобальном плане жопа, о том, собственно, и вся эта новость :-(
под видом приобщения к шифрованию - подсунули глобальную слежку. В очередной раз. А ты за траффик между серверами паришься - да кому он вообще теперь будет нужен...