[О блоге]
[наверх]
[пред]
[2025-09-16 16:44:00+03:00]
[ee69ed3244066daa2f0d9fd364c82aa952d62ab8]
Темы: [hate][le][web]
SSL-сертификаты в 2025: самый прибыльный развод в истории Интернета
https://habr.com/ru/articles/947178/
С одной стороны я согласен с автором о том, что весь X.509 это
огромнейший бизнес и ничего кроме бизнеса.
Но с другой я категорически не согласен с его бредом относительно того,
что Let's Encrypt же делает и даёт всё то же самое, но бесплатно.
История с jabber.ru яркий пример того, что LE как бы мало что "защищает".
Используя LE, вон, без проблем можно было сделать MitM. Так какой от
него вообще смысл или прок? Уж лучше self-signed сертификаты: уровень
безопасности может быть не хуже.
CA мы (хотя я никогда не платил) платим за то, что они проводят все эти
юридические процедуры в которых и заключается доверие. LE скажет что за
этим сертификатом когда-то точно был такой то домен. Ну и зашибись, вот
и всё что он заверил. Тогда как сайт нормального банка будет иметь много
чего прописанного в сертификате. CA подтверждает, что он видел кипу
документов от юрлица. Автор говорит, что эти "EV" сертификаты всё равно
никто глазами не смотрит. Это проблемы пользователей, что они
необразованы и продолжают использовать пароли qwerty. Дебилам сойдёт и
дебильный ничего не защищающий LE.
А цена LE отнюдь не бесплатна. Ценой является единый глобальный
централизованный CA, под контролем страны развязывающей кучу войн и
поддерживающий уничтожение кучи народов, как никто занимающейся
разделением Интернета, балканизацией. Ценой является централизованное
управление цензурой -- LE решает кто и когда может заходить на тот или
иной сайт. Ведь без LE сертификата же у тебя типа никакого не будет,
значит нет "валидного" HTTPS, значит по умолчанию современные
web-обозреватели вообще откажутся открывать такой ресурс. Бесплатный сыр
только в мышеловке.
[оставить комментарий]
- комментарий 0:
From: kmeaw
Date: 2025-09-16 18:16:16Z
А решится ли эта проблема с LE, если появится несколько CA, предоставляющих
похожие услуги на похожих условиях, и при этом находящиеся в разных
юрисдикциях?
- комментарий 1:
From: Sergey Matveev
Date: 2025-09-16 20:04:22Z
*** kmeaw@kmeaw.com [2025-09-16 18:16]:
>А решится ли эта проблема с LE, если появится несколько CA, предоставляющих
>похожие услуги на похожих условиях, и при этом находящиеся в разных
>юрисдикциях?
Альтернативы (с ACME) LE имеются, судя по статье. Но они в НАТО
юрисдикции, что равносильно под той же самой.
Если бы такие действительно были, и действительно в по-настоящему
разных (Китай там, Иран, РФ), то тогда мой аргумент под централизованную
точку цензурирования отпал бы. Подразумевая, конечно же, что они будут
из коробки в ОС/web-обозревателях добавлены как доверенные.
Но это же не отменит того, что DV сертификаты мало что аутентифицируют.
Сертификат выдан тому, кто вроде "отзывался" по адресам (в определённый
момент времени) прописанным для такого до домена. Не много где этого
будет всерьёз достаточно. А где достаточно: там наверняка и self-issued
подойдут.
Людей вроде должны интересовать аутентичность личностей и организаций.
Это возможно только если с документами прийти в УЦ. В этом вся их суть
изначальная.