From: Sergey Matveev <stargrave@stargrave.org>
Date: Sat, 18 Apr 2020 10:12:51 +0000 (+0300)
Subject: Создал ca.cypherpunks.ru
X-Git-Url: http://www.git.stargrave.org/?a=commitdiff_plain;h=9a01977feb964cf4b87e323db113195efe6c6f43;p=stargrave-blog.git

Создал ca.cypherpunks.ru

http://ca.cypherpunks.ru/
http://blog.cacert.org/2020/03/technical-problems-with-signer-machine/
Так как из-за коронавируса CACert.org потерял доступ к своей машине
создающей подписи и она не работает, а у меня некоторые сертификаты уже
протухают с недели на неделю, то решил создать свой CA.

* Let's Encrypt я принципиально не приемлю: по сути централизованный,
  под США, требующий кучу геморроя (дополнительного софта) CA
* CACert.org был единственным известным мне из оставшихся бесплатных CA
* Доверять ли моему CA? Хороший вопрос, так как я же ведь смогу сделать
  сертификат для google.com. Но Let's Encrypt-у же люди слепо доверяют?
* В любом случае, безопаснее всего делать certificate pinning для
  конкретных доменов. Конечные сертификаты я сделал на год
* Этот CA -- всего лишь точка доверия, подписанная моим PGP ключом

Из плюсов: использую ECDSA ключи, вместо огромных RSA, что и существенно
быстрее и трафик экономит.

Не исключаю что когда CACert.org вернётся в строй, то я вновь начну его
использовать. Но не уверен.
---