То есть три американские корпорации, подчиняющиеся американским законам, решают какая страна может построить базовую инфраструктуру (банки, магазины Госуслуги и всё такое), а какая не может. Хм, что же может пойти не так?
И они же потом будут заламывать руки и причитать что интернет разваливается.
Вы себе неверно представляете процессы. Когда страна приходит в подобное сообщество официальным представительством ее просто принимают.
Дальше если хочет она свой CA его дают, не хочет пусть просто посылает кого-то поговорить на любые встречи. Если технологии не позволяют безопасно выдать любой стране ее CA, то технологии срочно дорабатываются.
Пример как все должно работать это DNS. Никто ничего не рассматривает. Национальная зона просто выдается без вопросов. И каждая страна делает с ней что хочет. И с этим ни у кого нет никаких проблем, все просто работает как и должно.
Ветка чуть выше. Про расширение сертификатов. Чтобы корневой центр мог удостоверять только домены которые прописаны в его сертификате. По обычной маске.
Даже новых полей добавлять не надо. Все уже есть, надо просто начать их корректно обрабатывать.
Интерфейс у которого одна реализация не нужен. И никогда не был нужен.
То есть три американские корпорации, подчиняющиеся американским законам, решают какая страна может построить базовую инфраструктуру (банки, магазины Госуслуги и всё такое), а какая не может. Хм, что же может пойти не так?
И они же потом будут заламывать руки и причитать что интернет разваливается.
Они и сейчас им не пользуются. Пара гиков никому не интересны.
И этот выбор никуда не делается. Так же будут приезжать дефолтные сертификаты и делай с ними что хочешь. Речь только о дефолтах.
О корневых сертификатах с ограничением по доменам кому они сертификаты выдавать.
Старый софт это ограничение скипнет и будет доверять всем. Нехорошо, но не ломает работу.
Не мешает. В том то и дело. Старый софт будет по старому доверять всем все. Новый с нужными ограничениями.
И старое работает и обновиться повод есть.
IPv6 ужасен и я бы закопал признав провалом.
Мозилла с 2 процентами рынка? Вы вот это вот серьезно?
А судьи кто?
А кто мешает CA переделать? Явная проблема есть, решение понятно, ломать все не надо и можно плавно мигрировать. Децентрализация, все как завещали.
Я отлично понимаю как интернет устроен и вижу проблемы. И не хочу чтобы интернет из-за них развалился. Пока еще есть время решить их.
А судьи кто?
Вы себе неверно представляете процессы. Когда страна приходит в подобное сообщество официальным представительством ее просто принимают.
Дальше если хочет она свой CA его дают, не хочет пусть просто посылает кого-то поговорить на любые встречи. Если технологии не позволяют безопасно выдать любой стране ее CA, то технологии срочно дорабатываются.
Пример как все должно работать это DNS. Никто ничего не рассматривает. Национальная зона просто выдается без вопросов. И каждая страна делает с ней что хочет. И с этим ни у кого нет никаких проблем, все просто работает как и должно.
В каком-то другом мире да. В нашем легко могут выдавать в любых количествах.
EV успешно закопали и теперь живем в проклятом мире который сами создали.
Точно. 10 лет назад пока еще была надежда что оно работает попробовали. Послали. Значит надо делать по другому и всю систему менять, она вся прогнила.
Официальному представителю страны не отказывают в таких вопросах.
Тут
Свой CA и сделали. Национальный, как у других стран. Вроде логичное же решение.
Минцифры не может выдать сертификат Госуслугам который признают валидным все дефолт браузеры. Это факт.
То есть рандомная библиотека или турецкое аэрокосмическое агентство лучше? А можно подетальнее? CT логи есть, что еще нужно?
Оставить как есть. хороших идей что с ними можно лучше сделать я не видел.
Зона первого уровня. Юрисдикция полностью четкая. ДНС передан в страны. Сертификаты надо передать аналогично. Ничего нового или необычного.
Мы тут про дефолты. Дефолты вообще правят миром.
Почему он не попал в доверенные по умолчанию и почему он не может заверить сайт Госуслуг чтобы все браузеры ему доверяли?
Кто сказал? Факты говорят сами за себя. И не надо говорить что он хуже или менее прозрачен чем море нонеймов в доверенных.
Ветка чуть выше. Про расширение сертификатов. Чтобы корневой центр мог удостоверять только домены которые прописаны в его сертификате. По обычной маске.
Даже новых полей добавлять не надо. Все уже есть, надо просто начать их корректно обрабатывать.
А почему тогда Минцифры не может? Стрелочка поворачивается?
Порочен механизм корневых центров.
Почему почта Гонконга может выпустить сертификат для Госуслуг, Минцифры не может? Сертификат которому будут доверять все браузеры по умолчанию.