>>Ключи на стороне клиента генерируются.
> Подпись на стороне ца. Конечный подписанный серт генерируется на стороне ЦА.У клиента может быть уязвимая реализация гспч. У центра уязвимая реализация - вон из бизнеса.
> Мир не идеален, так ни одного ЦА не останется или каждый день будет новый ЦА без репутации.
Вселенная жестока и несправедлива. Ты до сих пор жив только потому, что бесчисленное число людей, единственная вина которых была в том, что им не повезло, сдохли.
>Тот же летсенкрипт уже отзывал серты, что его теперь обнулить из-за этого?
Да, исключить его серты. Чьи сайты перестанут работать - сами виноваты, что выбрали этот CA.
> Никакого бизнеса тут быть не должно этим должны заниматься НКО.
Только при наличии адекватной оплаты адекватный CA может существовать. Какая у него правовая форма - глубоко пофиг. Нужна оплата такая, чтобы CA мог себе позволить обеспечить отсутствие инцидентов.
> Сколько ЦА убрали из-за отзыва сертов?
Это ещё раз указывает на то, что сегодняшняя система PKI скомпрометированна конфликтом интересов у её участников.
>Крупные ЦА отзывали и отзывают серты - это нормально и это должно быть автоматизировано, чем реньше серт будет отозван тем меньше угроза безопасности клиентов банка.
> Мощно. Бизнесмены, подрядчики и это все альтернатива ACME? Очень смешно.
Да. Не нравится, что сайт может выдти из строя из-за выхода из строя CA - резервируй. Всё равно рисковано? Пиши в договоре "ничего своим клиентам я не обязан"? Клиенты не оценили, идут к конкурентам? Не пиши так, страхуй ответственность. Некоммерческий сервис, бесплатный? Ну так не проблема не гарантировать сервис.