#吐槽
In reply to nevent1q…ntp8
_________________________
我看现在这个中心化 CA 就不是很自由呢, 怎么现在网左还在默许这种行为, 就都给用我统统用 DANE 和 DNSSEC 去. 偶尔不规范操作 DNS 出解析错误还是 47 天更新一次证书总的选一个吧? 还是 ICANN 太穷了导致 DNSSEC 进展如此缓慢, CA 赚钱赚地的居然允许 47 天就重新签一次了, 把钱给点 ICANN, 把 CA 的基础设施变成 DNS 设施.
某些国家的 ccTLD 居然都不支持 DNSSEC, 是谁的问题? 只是小国太穷吗? 告诉管理局今天不支持 DNSSEC 你的顶级域的所有网站都要 HTTPS 错误, 第二天就提上日程了.
CA 大手一挥, 要说接下来 Let's Encrypt 在内的不给提供免费证书了, 全都统一付费定价, 因为签一次普通证书和高级证书的基础开销越来越接近了, 真的不会让证书价格整体更贵? 不知道, 纯瞎猜的. :bili_fantastic:
回到暴论本身上来, 去替代 CA 的难度和替代 DNS 的难度哪个比较高呢? 要不折中一下全都自签 CA 吧, 那就不得不看一眼如今 Android 不 root 就无法添加根证书了, 真的只是为了安全? 不给用户解锁 BootLoader 但允许固件开发商自由添加 CA, 用户怎么不能自助卸载 CA 呢? 不过应该也没人会主动检查系统的 CA 清单吧? :bili_doge:
via Nostr@cxplay
In reply to nevent1q…ntp8
_________________________
我看现在这个中心化 CA 就不是很自由呢, 怎么现在网左还在默许这种行为, 就都给用我统统用 DANE 和 DNSSEC 去. 偶尔不规范操作 DNS 出解析错误还是 47 天更新一次证书总的选一个吧? 还是 ICANN 太穷了导致 DNSSEC 进展如此缓慢, CA 赚钱赚地的居然允许 47 天就重新签一次了, 把钱给点 ICANN, 把 CA 的基础设施变成 DNS 设施.
某些国家的 ccTLD 居然都不支持 DNSSEC, 是谁的问题? 只是小国太穷吗? 告诉管理局今天不支持 DNSSEC 你的顶级域的所有网站都要 HTTPS 错误, 第二天就提上日程了.
CA 大手一挥, 要说接下来 Let's Encrypt 在内的不给提供免费证书了, 全都统一付费定价, 因为签一次普通证书和高级证书的基础开销越来越接近了, 真的不会让证书价格整体更贵? 不知道, 纯瞎猜的. :bili_fantastic:
回到暴论本身上来, 去替代 CA 的难度和替代 DNS 的难度哪个比较高呢? 要不折中一下全都自签 CA 吧, 那就不得不看一眼如今 Android 不 root 就无法添加根证书了, 真的只是为了安全? 不给用户解锁 BootLoader 但允许固件开发商自由添加 CA, 用户怎么不能自助卸载 CA 呢? 不过应该也没人会主动检查系统的 CA 清单吧? :bili_doge:
via Nostr@cxplay
