From 43bb5878b5052c70c683255d410025c685c7ece8 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Sun, 31 Jan 2016 13:06:35 +0300
Subject: [PATCH] =?utf8?q?=D0=9F=D0=BE=D1=87=D0=B5=D0=BC=D1=83=20=D1=8F=20?=
 =?utf8?q?=D0=B8=D1=81=D0=BF=D0=BE=D0=BB=D1=8C=D0=B7=D1=83=D1=8E=20CAcert.?=
 =?utf8?q?org,=20=D0=B0=20=D0=BD=D0=B5=20Let's=20Encrypt=20=D0=B8=D0=BB?=
 =?utf8?q?=D0=B8=20=D1=87=D1=82=D0=BE-=D1=82=D0=BE=20=D0=B5=D1=89=D1=91=3F?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

Во-первых, я принципиально не использую платные CA. Это деньги из
воздуха, из неоткуда, ни за что на практике. PKI создан для бизнеса.
В теории деньги платятся CA за то что они дотошно проверяют
подписываемые ими данные и никто больше не получит сертификат по ним.
Однако мы знаем что за деньги они вполне продажны, государство может
насильно заставить выпустить поддельные для DPI. К ним нет доверия.

Сейчас фактически деньги платят за то что сертификаты самих CA
предустановленны в броузерах и ОС из коробки. По каким признакам и кто
решает какой CA достоин попадания в ОС/броузер, а какие? Исключительно
по политическим и экономическим: кто с кем сможет договориться. Опять же
сплошной бизнес.

Когда-то CAcert был во многих ОС предустановлен и броузерах. Но это же
бизнес. Кто-то где-то недоговорился, не доплатил и его убрали из
поставок. Как это влияет на техническую безопасность? Да никак. С какой
стати мне играть в их политические игры и платить деньги если всё-равно
на безопасности это никак не сказывается?

CAcert был первым CA предоставляющим бесплатные сертификаты. Сейчас вот
Let's Encrypt появился. Многие используют и переходят на него потому-что
*на данный* момент его CA сертификат предустановлен в *текущих* сборках
броузеров и ОС. На сегодняшний день. Но никто не гарантирует что завтра,
по аналогии с CAcert-ом, он не пропадёт.

Let's Encrypt предоставляет средства для автоматизации подписей. Кому-то
они может удобны и хороши. Лично мне и сейчас не сложно управляться с
моими текущими и их утилиты мне только в лишний геморрой и vendor lockin.

С CAcert-ом одно но: его корневой CA сертификат использует MD5 в
подписи. Однако на днях они должны были переподписать их. Так что
вот-вот и этот недостаток будет убран. С точки зрения безопасности
CAcert станет не хуже остальных. Он не требует vendor-specific утилит
как в Let's Encrypt. Он в целом плевать хотел на бизнес и политические
игры. Из-за этого всего я и остаюсь на нём.

А что же делать пользователям которым тыкнули предупреждением о
недоверенном сертификате? Учиться управлять своей безопасностью, а не
полагаться на решения третьих лиц о том что они посчитают для кого-то
безопасным, а для кого-то нет.
-- 
2.48.1