> повторю моё имхо -- лучше-бы они его PKI передалали в ipsec через TCPЛучше б вы убились веником с такими советами, имхо. Если эту идею не дай боже кто реализует массово, я не советую вам попадаться на глаза админам в узком месте в темное время суток. Потому что замена не эквивалентна по смыслу но зато по геморройности - переплюнет в хренадцать раз. Знаете в чем плюс SSL? В том что он не лезет на уровень IP. Чем сильно упрощает участь обладателей натов, файрволов, проксей и прочего добра. А вот с ipsec можно отхватить в ряде случаев неслабого ip-секаса :).И, знаете, если сайт банка не загрузится потому что по пути дескать был туповатый NAT - это неприемлимо.