From 0f080e8a8afb21c464ac1e3978fce0efb104ef57 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Mon, 31 Jan 2022 23:03:58 +0300
Subject: [PATCH] Why I won't use Let's Encrypt
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

http://www.stargrave.org/WhyNotLE.html
https://lobste.rs/s/m6hkl1/why_i_won_t_use_let_s_encrypt
https://news.ycombinator.com/item?id=30141646
https://news.ycombinator.com/item?id=30145482
Вбросил я сегодня статью про то, почему я не буду использовать LE. Об
этом разрозненно писал и в блоге и в рассылках, но вопрос касательно
HTTPS на моих сайтах поднимается всюду и везде -- поэтому написал статью
чтобы просто ссылку можно было бы вкинуть. Ничего нового в ней нет.

Почитал комментарии которые люди пишут. В IRC NNCP верно заметили что у
большинства вообще создалось впечатление что я против TLS и не использую
его. Ну тут мне нечего сказать, ведь в самом начале я начинаю с того что
он у меня используется.

Другая часть обращает внимание исключительно только на моё заявление о
том что LE это NOBUS. Конечно у меня нет доказательств этого, но
репутации CA, software vendor-ов, вообще американцев и их спецслужб,
плюс того факта что всех остальных бесплатных убрали предварительно --
мне достаточно.

Некоторые упорно тычут в Certificate Transparency, мол как средство
аудита добропорядочности власть имущих. В последний раз когда я проверял
на какие CT публикуются данные некоторых крупных CA (детали уже не помню
кого именно), то все они полностью в одной юрисдикции находились. Я и
одной то third-party из этой страны не могу доверять серьёзно, а мне
предлагают ещё дополнительно нескольких других. Вбросили и что VPS
hoster-у тоже надо доверять всецело. Короче везде только "отдай это на
попечение другим". Шикарно! И это разве не NOBUS, в том числе?

Кол-во голосов (?) за комментарий о том что человека бы больше напрягали
ГОСТ-алгоритмы, нежели чем NOBUS LE, ставит всё на свои места.

Длинные разъяснения о рисках того, когда применяется CAA+DNSSEC+LE+CT,
сводятся самими же авторами к тому, что поверхность атаки уменьшается до
всяких атак на конечные реализации ПО, конечные endpoint-ы и до тех, кто
имеет доступ к ключу подписи LE. Всё верно, поверхность уменьшена, но за
счёт участника из США в вопросах безопасности? Это не может быть
вариантом. Лично для меня по очевидным причинам, но для граждан США
наверное нет, они же искренне верят что террор который они устраивают в
куче стран по всей Земле -- на благо остальных. В комментариях даже явно
пишут, что даже если LE это вообще проект АНБ, то это всё равно лучше
для безопасности. Умалчивают чьей.

Есть предложения использовать другие бесплатные CA, которые тоже с ACME
протоколом. Посмотрел на них. Все (потому что ЕС, НАТО?) аналогично
упоминают подсанкционные страны и районы и возможные последствия
взаимодействия с ними. Ибо я должен "дружить" with nobody, but us, ага.
-- 
2.50.0