Здравствуйте, Sinclair, Вы писали:

S>А что именно там дорого и сложно? Раздавать сертификаты в цепочке проверки? Вполне себе дёшево. Для таких задач редко применяют общественную инфраструктуру — достаточно иметь вендорский Root CA предпрошитым в устройстве.
S>А со стороны устройства главное — чтобы публичный ключ устройства был подписан сертификатом вендора, там цепочка из одного звена.

Apple головного мозга (АГМ) в полный рост. При любой перепродаже устройства — ходи к производителю за ключами.

Я ещё как-то понимаю, если серверную сторону будут проверять по умолчанию (и предоставлен какой-то стандартный лёгкий путь вшить сертификат локального сервера). Но клиента... ???

А ещё, вот только что вспомнил, эти телефоны в массе умели получать начальный конфиг по TFTP. Это тоже ты предлагаешь сделать через SSL в облако?

S>Поэтому платить никому ни за что не надо.

Только изготовителю устройства, за то, что поддерживает своё хранилище ключей по каждому устройству. Этак баксов 20 в год, минимум (иначе не окупится) на каждое устройство. И расширенную проверку запросов, для чего держать детективное агентство.
А кто не заплатил в течение года — стирать нафиг, законно по SLA, чтобы бежали покупать новую железяку.
АГМ такое АГМ...

SK>>И все ради чего? ради того, чтобы злоумышленник третье лицо, перехватив несколько пакетов трафика не смог понять содержимого.
S>Совершенно верно. Потому что когда это "содержимое" — plaintext username/password, как это было в случаях, которые я упоминал, его "понимание" злоумышленнику полный контроль над вашей железкой.

Кстати, ты и SIP не знаешь. Почитай про стиль Digest авторизации. Нет там plaintext password. А Basic стиль там запрещён.

Ох уж эти мне сказочники, не попытавшиеся хоть что-то узнать про сеттинг...