> Я и написал "де факто". ну вот де-факто - есть.
А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих нет.
> Отставить паранойю. OpenPGP-Web-Of-Trust так уже много лет работает.
там совсем другой подход - никаких "trusted ca". По этой причине, кстати, и не работает. Гладко было на бумаге.
> Так и сейчас доверяют сертификатам -- сертификатам УЦ.
сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных мер, чтобы просто сертификату васяна ты доверять не мог. Включая и его одноразовость.
> Государство скорее закроет интернет нахрен, чем откажется от возможности следить за людьми.
гугл и мурзила - скорее государство в государстве.
Ничего личного, just a business.
У меня в помойке два приглашения на собеседование. Один от ntechlab, второй от хуавэя. Причем про второй я спросил - там не 60 тыщ и действующие сертификаты ccie и jncie, там вполне нормальные требования и зарплата выше средней по отрасли - при всей жадности плохой дороги, за это она готова платить.
Вполне коммерческие предприятия. С умненькими мальчиками там работающими.
> В частности, тот факт, что в компах стоят протухшие на 20 лет сертификаты -- это _очень_
> небезопасно.
это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на всякий случай?
Или все же - только когда и если потерял ключ?
А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от квартиры - они при правильном обращении (и это _проверяется_ прежде чем твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно настроить веб-сайт) не то что из дома не выносятся, а вообще не используются никогда. Используется второй или даже третий intermediate. Ключ от основного нужен только если их понадобилось перевыпустить. Ну или подписать вот ключ другого CA. Случается примерно раз в 20 лет.
