Google/Mozilla не доверяют WoSign и StartCom

http://www.opennet.ru/opennews/art.shtml?num=46823
https://habrahabr.ru/post/332672/

Крайне не нравятся мне эти две корпорации лицемеров и политиков.

* WoSign/StartCom нарушали больше, недопустимее и хуже всех? Я помню что
  куда более крупные и брэндовые VeriSign/Comodo-ы (или кто-то из
  подобных крупных) выпускали сертификаты не честно (вроде на Google).
  К ним, значит, никаких претензий и наказаний?
* Если все они из себя за правильность оценки качества работы CA, то
  какого чёрта доверие к сертификату учитывает его популярность в Alexa?
  Что за @#$%? По моему вообще нонсенс что безопасность зависит от
  популярности ресурса.

Так чем же не угодили CACert (который раньше попал в "недоверяемые") и
эти два CA? Тем что они выпускали бесплатно, мешали делать деньги из
воздуха. Только вот не надо говорить что тут продажа доверия -- те кто
оплошал, но является США-организацией, то тому всё-равно ничего не делается.

Но, безусловно, основная причина это не то что мешают делать бизнес, а
конечно же, вопрос контроля. К китайским компаниями силовые структуры
США не могут прийти. А к Let's Encrypt, в котором 100500 мировых
корпораций, само собой из США, без проблем. Кроме того, малое время
жизни превращает LE сертификаты в нечто крайне малоюзабельное. В моём
броузере делается certificate pinning и если сертификат изменился, то он
меня спросит что делать дальше то? На многие многие сайты я захожу
запросто с периодичностью в 90+ дней -- а это значит что каждый заход
мне нужно принимать решение о доверии к сайту. По хорошему я что должен
делать? Должен достучаться до него через Tor, должен поднять VPN до
работы и из разных мест попытаться зайти, сравнивая тот ли мне
сертификат суют? Однако это будет просто проверка на MitM. Никто не
запрещает силовикам иметь доступ к приватному ключу. В идеале я должен
послать бы OpenPGP почту до сайта и узнать его сертификат, постучаться в
DANE DNSSEC-овский этого сайта, итд. LE, таким образом, превращает
использование TLS соединений в некий ад. Представьте что каждое бы
подключение имело свой новый уникальный сертификат? Они вынуждают
забыть о pinning, а только и только доверять ихнему CA, которому я чисто
политически и потому-что там 100500 корпораций просто не могу доверять.

Мне часто многие пишут почему я не подниму у себя LE сертификаты.
Основной довод: популярность, мол производители наших броузеров его CA в
себя засунули. Ну ok -- политическое решение Mozilla и Google было
таким. Мне то до него какое дело? Я вижу что решения они принимают
лицемерно. Ну и мне очень, очень и очень не нравится ставить какой-то
сторонний софт без надобности. Чтобы запросить себе сертификат и
доказать владение доменом -- софт не нужен. Я не девочка-секретарша
которая не в состоянии сделать запрос на сертификацию. Можно обойтись и
без их софта, но это каждые 90 дней трахаться и геморроиться. LE: делает
неюзабельным certificate pinning и усложняет администрирование.