From: Sergey Matveev Date: Sun, 31 Jan 2016 10:06:35 +0000 (+0300) Subject: Почему я использую CAcert.org, а не Let's Encrypt или что-то ещё? X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=43bb5878b5052c70c683255d410025c685c7ece8;p=stargrave-blog.git Почему я использую CAcert.org, а не Let's Encrypt или что-то ещё? Во-первых, я принципиально не использую платные CA. Это деньги из воздуха, из неоткуда, ни за что на практике. PKI создан для бизнеса. В теории деньги платятся CA за то что они дотошно проверяют подписываемые ими данные и никто больше не получит сертификат по ним. Однако мы знаем что за деньги они вполне продажны, государство может насильно заставить выпустить поддельные для DPI. К ним нет доверия. Сейчас фактически деньги платят за то что сертификаты самих CA предустановленны в броузерах и ОС из коробки. По каким признакам и кто решает какой CA достоин попадания в ОС/броузер, а какие? Исключительно по политическим и экономическим: кто с кем сможет договориться. Опять же сплошной бизнес. Когда-то CAcert был во многих ОС предустановлен и броузерах. Но это же бизнес. Кто-то где-то недоговорился, не доплатил и его убрали из поставок. Как это влияет на техническую безопасность? Да никак. С какой стати мне играть в их политические игры и платить деньги если всё-равно на безопасности это никак не сказывается? CAcert был первым CA предоставляющим бесплатные сертификаты. Сейчас вот Let's Encrypt появился. Многие используют и переходят на него потому-что *на данный* момент его CA сертификат предустановлен в *текущих* сборках броузеров и ОС. На сегодняшний день. Но никто не гарантирует что завтра, по аналогии с CAcert-ом, он не пропадёт. Let's Encrypt предоставляет средства для автоматизации подписей. Кому-то они может удобны и хороши. Лично мне и сейчас не сложно управляться с моими текущими и их утилиты мне только в лишний геморрой и vendor lockin. С CAcert-ом одно но: его корневой CA сертификат использует MD5 в подписи. Однако на днях они должны были переподписать их. Так что вот-вот и этот недостаток будет убран. С точки зрения безопасности CAcert станет не хуже остальных. Он не требует vendor-specific утилит как в Let's Encrypt. Он в целом плевать хотел на бизнес и политические игры. Из-за этого всего я и остаюсь на нём. А что же делать пользователям которым тыкнули предупреждением о недоверенном сертификате? Учиться управлять своей безопасностью, а не полагаться на решения третьих лиц о том что они посчитают для кого-то безопасным, а для кого-то нет. ---