Чому ми не можемо трактувати SSL-сертифікати як Pgp-ключі, а не довіряючи ЦО? [зачинено]

Я тупий і дурний і не знаю всіх технічних аспектів SSL та наслідків та впроваджень на стороні сервера / клієнта. Однак я розумію їх досить добре з точки зору користувача, щоб щодня користуватися SSL та енцирбцією.

Я думав, що як нерозумно довіряти деяким невідомим / відомим ЦО, коли справа стосується наших сертифікатів для наших серверів. Було багато випадків проступків, неправильного використання, компромісів та крадіжок сертифікатів / клавіш з цих місць. Крім цих відомих питань, ми також мусимо регулярно платити цим хлопцям.

Мене цікавить, чому ми не можемо використовувати / обробляти сертифікати веб-сервера, як ми використовуємо наші pgp-ключі? Тому я підписую сертифікат SSL і відсилаю на центральний сервер. І тоді кожен користувач, що звертається до мого сайту, перевіряє дійсність та ключі від якогось центрального сервера (наприклад, сервери ключів pgp).

Це дурна ідея? Якщо так, то що може бути кращою ідеєю, ніж діюча система видачі дійсних сертифікатів. Я шукаю кращу, ніж більш безпечну ідею. Природно, це не є вирішенням існуючої проблеми, скоріше це буде гіпотетичним рішенням для майбутнього впровадження в даний час заплутаної мережі довіри в Інтернеті завдяки останнім новинам про АНБ та їхніх злочинних приятелів у всьому світі.

Дякую

Це переважно зручність. Чистий PGP-подібний веб-довіра працює лише в тому випадку, якщо між клієнтом, що підтверджує, і підписаним сертифікатом є шлях довіри.

У PKI він починається зі списку надійних кореневих ЦС, вбудованих усіма операційними системами (а часто і веб-браузерами), і цей список може бути використаний для перевірки 99% усіх серверних сертифікатів.

З WoT кожен з ваших відвідувачів бачив би лише те, що сертифікат сервера підписаний однією "ярункою", і їм потрібно буде або знати когось, хто вже перевірив вас, або знайти спосіб перевірити свій ключ самостійно. Це ледве працює для електронної пошти, де зв’язків мало і довгострокових (наприклад, друзів, колег). Він не буде масштабироваться взагалі сотні сайтів - навіть для відвідувачів , які дійсно мають локальні безпеку свідомих виродків , що вони довіряють з перевіркою цих сайтів.

Але що робити, якщо вони цього не роблять? Що робити, якщо відвідувач не знає нікого, хто би вже підтвердив ваш ключ? Вони повинні були знайти спосіб перевірити вас безпосередньо. Ви і десятки, сотні інших веб-майстрів. Можливо, ви знайдете відвідувача або двох, які запитують вас про відбиток пальців по телефону. Інші кілька тисяч просто нічого не робитимуть, а просто натискають на попередження "непідданого сервера".

Кінцевий результат: взагалі немає безпеки.

І якщо ви зараз думаєте, "давайте мати список довірених підписників / верифікаторів за замовчуванням" ... ви просто впровадили той самий PKI з довіреною владою поверх PGP.