
<div dir="ltr">Hi Wilma,<div><br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Mar 7, 2014 at 7:40 PM, Wilma Hermann <span dir="ltr"><<a href="mailto:wilma.hermann@gmail.com" target="_blank">wilma.hermann@gmail.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi Valentin,<br>

<div class=""><br>

> Last time I checked, my CA looked pretty real to me<br>

</div>Admittedly, "real" might have been the wrong word. Probably "common"<br>

would have better described what I meant.<br>

<div class=""><br>

> And why is that? Is Verisign's random number generator better than yours?<br>

</div>No, but their root certificate is shipped with every common browser<br>

out there, even on mobile devices.<br></blockquote><div><br></div><div>You are right. And so we put our trust in them. </div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div class=""><br>

> None of the RFCs I've read about PKI don't tell me that I SHOULD NOT use<br>

> self signed certs for production environments.<br>

</div>Fair enough, that's true. And when you have an environment where you<br>

can ensure that all users have your root certificate installed, then<br>

there's no downside of a private CA-infrastructure. But from ML's<br>

comments I assumed that this particular OpenNebula installation is to<br>

be opened to the public (or at least an audience where ML cannot make<br>

sure that the root certificate is trusted by default).<br>

If that assumption holds and you're not willing to spend a few dollars<br>

for an uninterrupted user-experience, then I question your business<br>

model...<br></blockquote><div><br></div><div>I totally agree with you about the user experience and for it is worth investing</div><div>a few dollars. I guess I am just frustrated that TLS fails to provide peer to peer</div>


<div>trust.</div><div> </div><div><br></div><div>Greetings,</div><div>Valentin</div><div><br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<br>

Greetings<br>

Wilma<br>

<br>

<br>

2014-03-07 17:37 GMT+01:00 Valentin Bud <<a href="mailto:valentin.bud@gmail.com">valentin.bud@gmail.com</a>>:<br>

<div class="HOEnZb"><div class="h5">><br>

> Hello Wilma,<br>

><br>

> On Thu, Feb 6, 2014 at 6:20 PM, Wilma Hermann <<a href="mailto:wilma.hermann@gmail.com">wilma.hermann@gmail.com</a>> wrote:<br>

>><br>

>> There is a really easy fix for that: Get a real certificate from a real CA. You should not use self-signed certs for a production environment.<br>

><br>

><br>

> And why is that? Is Verisign's random number generator better than yours?<br>

> A real certificate from a real CA? I don't get that. Last time I checked, my CA<br>

> looked pretty real to me, conforming with RFC 5280. And the certificates from the<br>

> browser and VPNs issued by that CA are also real.<br>

><br>

> None of the RFCs I've read about PKI don't tell me that I SHOULD NOT use<br>

> self signed certs for production environments.<br>

><br>

> Your business's image could suffer from a self signed cert but that's another<br>

> story. Technology is technology and it should work either way, be it self signed<br>

> or not.<br>

><br>

> Best,<br>

> Valentin<br>

><br>

>><br>

>> Greetings<br>

>> Wilma<br>

>><br>

>><br>

>> 2014-02-06 ML mail <<a href="mailto:mlnospam@yahoo.com">mlnospam@yahoo.com</a>>:<br>

>><br>

>>> This workaround fixes that problem yes but it is not a good workaround especially if you want to offer opennebula to real customers. I hope another better alternative can be found in the future but I am aware that this is mostly a browser problem :|<br>


>>><br>

>>> Regards<br>

>>> ML<br>

>>><br>

>>><br>

>>><br>

>>> On Thursday, February 6, 2014 10:56 AM, Daniel Molina <<a href="mailto:dmolina@opennebula.org">dmolina@opennebula.org</a>> wrote:<br>

>>> Hi,<br>

>>><br>

>>><br>

>>> On 5 February 2014 16:58, ML mail <<a href="mailto:mlnospam@yahoo.com">mlnospam@yahoo.com</a>> wrote:<br>

>>><br>

>>> Hello,<br>

>>><br>

>>> I would like to use noVNC in Sunstone over an encrypted channel (WSS). Therefore I have generated my own SSL key and certificate which I have added to the sunstone-server.conf configuration. The problem is that this does not work, when I start VNC from the Sunstone web interface I get the following error message in novnc.log:<br>


>>><br>

>>> SSL routines:SSL3_READ_BYTES:tlsv1 alert unknown ca<br>

>>><br>

>>> Does this mean I need an official SSL certificate?<br>

>>><br>

>>><br>

>>> Please, check if the solution proposed in this thread, fixes your problem<br>

>>> <a href="http://lists.opennebula.org/pipermail/users-opennebula.org/2014-February/026405.html" target="_blank">http://lists.opennebula.org/pipermail/users-opennebula.org/2014-February/026405.html</a><br>

>>><br>

>>> Cheers<br>

>>><br>

>>><br>

>>><br>

>>> Regards<br>

>>><br>

>>> ML<br>

>>><br>

>>><br>

>>> _______________________________________________<br>

>>> Users mailing list<br>

>>> <a href="mailto:Users@lists.opennebula.org">Users@lists.opennebula.org</a><br>

>>> <a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>

>>><br>

>>><br>

>>><br>

>>><br>

>>> --<br>

>>> --<br>

>>> Daniel Molina<br>

>>> Project Engineer<br>

>>> OpenNebula - Flexible Enterprise Cloud Made Simple<br>

>>> <a href="http://www.OpenNebula.org" target="_blank">www.OpenNebula.org</a> | <a href="mailto:dmolina@opennebula.org">dmolina@opennebula.org</a> | @OpenNebula<br>

>>><br>

>>><br>

>>><br>

>>> _______________________________________________<br>

>>> Users mailing list<br>

>>> <a href="mailto:Users@lists.opennebula.org">Users@lists.opennebula.org</a><br>

>>> <a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>

>>><br>

>><br>

>><br>

>> _______________________________________________<br>

>> Users mailing list<br>

>> <a href="mailto:Users@lists.opennebula.org">Users@lists.opennebula.org</a><br>

>> <a href="http://lists.opennebula.org/listinfo.cgi/users-opennebula.org" target="_blank">http://lists.opennebula.org/listinfo.cgi/users-opennebula.org</a><br>

>><br>

><br>

><br>

><br>

> --<br>

> Valentin Bud<br>

> <a href="http://databus.pro" target="_blank">http://databus.pro</a> | <a href="mailto:valentin@databus.pro">valentin@databus.pro</a><br>

</div></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div dir="ltr">Valentin Bud<div><a href="http://databus.pro" target="_blank">http://databus.pro</a> | <a href="mailto:valentin@databus.pro" target="_blank">valentin@databus.pro</a></div>


</div>

</div></div>