From c1d991e20528f6b0e84b06cda975543a69a502d2 Mon Sep 17 00:00:00 2001
From: Sergey Matveev <stargrave@stargrave.org>
Date: Sun, 9 Jul 2017 11:59:42 +0300
Subject: [PATCH] =?utf8?q?Google/Mozilla=20=D0=BD=D0=B5=20=D0=B4=D0=BE?=
 =?utf8?q?=D0=B2=D0=B5=D1=80=D1=8F=D1=8E=D1=82=20WoSign=20=D0=B8=20StartCo?=
 =?utf8?q?m?=
MIME-Version: 1.0
Content-Type: text/plain; charset=utf8
Content-Transfer-Encoding: 8bit

http://www.opennet.ru/opennews/art.shtml?num=46823
https://habrahabr.ru/post/332672/

Крайне не нравятся мне эти две корпорации лицемеров и политиков.

* WoSign/StartCom нарушали больше, недопустимее и хуже всех? Я помню что
  куда более крупные и брэндовые VeriSign/Comodo-ы (или кто-то из
  подобных крупных) выпускали сертификаты не честно (вроде на Google).
  К ним, значит, никаких претензий и наказаний?
* Если все они из себя за правильность оценки качества работы CA, то
  какого чёрта доверие к сертификату учитывает его популярность в Alexa?
  Что за @#$%? По моему вообще нонсенс что безопасность зависит от
  популярности ресурса.

Так чем же не угодили CACert (который раньше попал в "недоверяемые") и
эти два CA? Тем что они выпускали бесплатно, мешали делать деньги из
воздуха. Только вот не надо говорить что тут продажа доверия -- те кто
оплошал, но является США-организацией, то тому всё-равно ничего не делается.

Но, безусловно, основная причина это не то что мешают делать бизнес, а
конечно же, вопрос контроля. К китайским компаниями силовые структуры
США не могут прийти. А к Let's Encrypt, в котором 100500 мировых
корпораций, само собой из США, без проблем. Кроме того, малое время
жизни превращает LE сертификаты в нечто крайне малоюзабельное. В моём
броузере делается certificate pinning и если сертификат изменился, то он
меня спросит что делать дальше то? На многие многие сайты я захожу
запросто с периодичностью в 90+ дней -- а это значит что каждый заход
мне нужно принимать решение о доверии к сайту. По хорошему я что должен
делать? Должен достучаться до него через Tor, должен поднять VPN до
работы и из разных мест попытаться зайти, сравнивая тот ли мне
сертификат суют? Однако это будет просто проверка на MitM. Никто не
запрещает силовикам иметь доступ к приватному ключу. В идеале я должен
послать бы OpenPGP почту до сайта и узнать его сертификат, постучаться в
DANE DNSSEC-овский этого сайта, итд. LE, таким образом, превращает
использование TLS соединений в некий ад. Представьте что каждое бы
подключение имело свой новый уникальный сертификат? Они вынуждают
забыть о pinning, а только и только доверять ихнему CA, которому я чисто
политически и потому-что там 100500 корпораций просто не могу доверять.

Мне часто многие пишут почему я не подниму у себя LE сертификаты.
Основной довод: популярность, мол производители наших броузеров его CA в
себя засунули. Ну ok -- политическое решение Mozilla и Google было
таким. Мне то до него какое дело? Я вижу что решения они принимают
лицемерно. Ну и мне очень, очень и очень не нравится ставить какой-то
сторонний софт без надобности. Чтобы запросить себе сертификат и
доказать владение доменом -- софт не нужен. Я не девочка-секретарша
которая не в состоянии сделать запрос на сертификацию. Можно обойтись и
без их софта, но это каждые 90 дней трахаться и геморроиться. LE: делает
неюзабельным certificate pinning и усложняет администрирование.
-- 
2.50.0