>ну вот покажите мне датацентр, работающий на ipsec - для начала. Чей ДЦ? Гугла? Вы про что? Гугл может и строит свои ДЦ. Крупный провайдеры строят свои ДЦ. Те, кто умеют в ДЦ могут обойтись MPLS (да-да, ой, сколько оно жрет ресурсов! ути-пути).
>для продолжения - подумайте, сколько ресурсов оно сожрет
Глянь статистику от haproxy. Возьмите статистику от Intel. Средняя температура от 1000 до 50000 тыс. запросов HTTPS в секунду. Последняя цифра на 56 (пятьдесят шесть) ядер на 3ГГц.
Теперь подели эти цифры на кол-во сервисов, которым нужен SSL. А теперь сопоставь с 1-м каналом IPSec на все нужды. Ты математику в школе не прогуливал?
>Ну и еще - шифрование в БД позволяет не изобретать свой велосипед с аутентификацией (в mysql ее пару раз, помнится, ломали)
Ну, все понеслось. Причем тут аутентификация? Кстати, ломали и Oracle DB, если что. Только в БД это ближе к простой авторизации, которая никак не связана с защитой данных. Она нужна для ограничения доступа и прав (что бы левый человек чего что-нибудь под этой учеткой не прочитал аль не записал лишнего). И все.
Сама же аутентификация может быть выполнена на уровне тупого сетевого фильтра (iptables, ipfw, pf). Потому что между ДЦ трафик гоняется от сервера к сервера, а не от пользователя к серверу, где в таком случае аутентификация играет намного большую роль (можно прижать за яйца в случае чего).
>А вот прикрутить готовую ssl - если не заморачиваться сложными ходами - может каждый студент.
Криптография не для студентов. Это отдельная ОГРОМНАЯ область, где от незнания вся безопасность летит к чертям.
Ну, вы продолжайте объяснять как студенты бороздят закаулки криптографии, как они делают _действительно_ секурные вещи и т.п. Очень интересно читать на ночь подобные сказки.
