[О блоге] [наверх] [пред] [2022-01-31 23:03:58+03:00] [0f080e8a8afb21c464ac1e3978fce0efb104ef57]
Темы: [dns]

Why I won't use Let's Encrypt

http://www.stargrave.org/WhyNotLE.html
https://lobste.rs/s/m6hkl1/why_i_won_t_use_let_s_encrypt
https://news.ycombinator.com/item?id=30141646
https://news.ycombinator.com/item?id=30145482
Вбросил я сегодня статью про то, почему я не буду использовать LE. Об
этом разрозненно писал и в блоге и в рассылках, но вопрос касательно
HTTPS на моих сайтах поднимается всюду и везде -- поэтому написал статью
чтобы просто ссылку можно было бы вкинуть. Ничего нового в ней нет.

Почитал комментарии которые люди пишут. В IRC NNCP верно заметили что у
большинства вообще создалось впечатление что я против TLS и не использую
его. Ну тут мне нечего сказать, ведь в самом начале я начинаю с того что
он у меня используется.

Другая часть обращает внимание исключительно только на моё заявление о
том что LE это NOBUS. Конечно у меня нет доказательств этого, но
репутации CA, software vendor-ов, вообще американцев и их спецслужб,
плюс того факта что всех остальных бесплатных убрали предварительно --
мне достаточно.

Некоторые упорно тычут в Certificate Transparency, мол как средство
аудита добропорядочности власть имущих. В последний раз когда я проверял
на какие CT публикуются данные некоторых крупных CA (детали уже не помню
кого именно), то все они полностью в одной юрисдикции находились. Я и
одной то third-party из этой страны не могу доверять серьёзно, а мне
предлагают ещё дополнительно нескольких других. Вбросили и что VPS
hoster-у тоже надо доверять всецело. Короче везде только "отдай это на
попечение другим". Шикарно! И это разве не NOBUS, в том числе?

Кол-во голосов (?) за комментарий о том что человека бы больше напрягали
ГОСТ-алгоритмы, нежели чем NOBUS LE, ставит всё на свои места.

Длинные разъяснения о рисках того, когда применяется CAA+DNSSEC+LE+CT,
сводятся самими же авторами к тому, что поверхность атаки уменьшается до
всяких атак на конечные реализации ПО, конечные endpoint-ы и до тех, кто
имеет доступ к ключу подписи LE. Всё верно, поверхность уменьшена, но за
счёт участника из США в вопросах безопасности? Это не может быть
вариантом. Лично для меня по очевидным причинам, но для граждан США
наверное нет, они же искренне верят что террор который они устраивают в
куче стран по всей Земле -- на благо остальных. В комментариях даже явно
пишут, что даже если LE это вообще проект АНБ, то это всё равно лучше
для безопасности. Умалчивают чьей.

Есть предложения использовать другие бесплатные CA, которые тоже с ACME
протоколом. Посмотрел на них. Все (потому что ЕС, НАТО?) аналогично
упоминают подсанкционные страны и районы и возможные последствия
взаимодействия с ними. Ибо я должен "дружить" with nobody, but us, ага.

    [оставить комментарий]