Ejabber та сертифікат, Пам’ятка на майбутнє

У зв'язку з використанням шифрування в xmpp, я перейнявся поміняти шифрувальну пару, сертифікат і перевірити свій сервак на відповідність "поточному моменту" так би мовити.

Важливо : у поліSubject DN значення CN повинно дорівнювати домену, а не імені сервака. Що принципово відрізняється від https, наприклад. Це так, на згадку.

Кумедно, але в мене склалося враження, що можлива сутність того, що відбувається:

  • змусити людейкупувати сертифікати. Не, звичайно, поки що можна задовольнитись безкоштовним, алепримус зав'язуватися на чиюсь сертифікацію... Чогось пахне кидаловим.
  • отримати можливість вимкнути будь-який шматок xmpp простору. У кого CA, той може і відкликати сертифікат. І тимчасово заблокувати. Адже рахунки блокують, а чому б не відключити тих хто не згоден з єдино вірними, скажімо, демократичними цінностями.

Що мене бентежить:

  • IM Observatory спокійно ставиться до алгоритмів шифрування, довжини ключа. А ось за самопідписаний сертифікат відразу слідує "кидок" з "A" на "F" за їх шкалою європейських цінностей: "Certificate is not trusted, grade capped to F". Ignoring trust: A.” На алгоритми начхати, а ось користуватися "правильним" CA це суперважливо, так, так.
  • примус користуватися сервісом (в даному випадку – сертифікацією) від “правильних” CA напружує.
  • добре, зараз "зачистять" xmpp-простір від "неправильних" сертифікатів. Хто заважає потім також зачистити від безкоштовних? Або за якою ще ознакою. Якого… купка комерсантів вирішує, хто може передавати xmpp повідомлення, а хто ні. Пошту теж віддамо "ефективним" менеджерам?
  • поспіх. Ну куди гнати?
  • навіщовідключати тих, хто неперейшов на шифрування? Ну, зробіть відмітку на повідомлення, які проходили нешифрованим каналом.
  • сервера не готові, клієнти не готові, інструкцій "кіт наплакав".
  • Нафіга все це? Не, модно, усі справи. Акрім “пальців” ?
  • уявіть - завтразаборонили http. Залишився тільки https…

Конспірологія якась. Але, скажімо, в ssmtp обійшлися бездиктата виробників сертифікатів. Що, тепер, замість твіттерних, робитимуть джаберні революції? Загалом щось мені не подобається цей процес.