From 9a01977feb964cf4b87e323db113195efe6c6f43 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Sat, 18 Apr 2020 13:12:51 +0300
Subject: [PATCH] =?utf8?q?=D0=A1=D0=BE=D0=B7=D0=B4=D0=B0=D0=BB=20ca.cypher?=
 =?utf8?q?punks.ru?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

http://ca.cypherpunks.ru/
http://blog.cacert.org/2020/03/technical-problems-with-signer-machine/
Так как из-за коронавируса CACert.org потерял доступ к своей машине
создающей подписи и она не работает, а у меня некоторые сертификаты уже
протухают с недели на неделю, то решил создать свой CA.

* Let's Encrypt я принципиально не приемлю: по сути централизованный,
  под США, требующий кучу геморроя (дополнительного софта) CA
* CACert.org был единственным известным мне из оставшихся бесплатных CA
* Доверять ли моему CA? Хороший вопрос, так как я же ведь смогу сделать
  сертификат для google.com. Но Let's Encrypt-у же люди слепо доверяют?
* В любом случае, безопаснее всего делать certificate pinning для
  конкретных доменов. Конечные сертификаты я сделал на год
* Этот CA -- всего лишь точка доверия, подписанная моим PGP ключом

Из плюсов: использую ECDSA ключи, вместо огромных RSA, что и существенно
быстрее и трафик экономит.

Не исключаю что когда CACert.org вернётся в строй, то я вновь начну его
использовать. Но не уверен.
-- 
2.50.0