Привет, ЛОР!
У меня тут навязчивые мысли в голову бредут. А почему, собственно, каждая программа, лезущая в сеть, сама занимается разруливанием сертификатов, шифрованием и так далее? Для других протоколов, например DNS, такого не происходит и в DNS используется системный ресолвер.
Есть ли смысл городить по аналогии общесистемный TLS Proxy? Из плюсов, что я вижу:
- Простота управления сертификатами;
- Возможность централизованно выключать небезопасные алгоритмы;
- Сильно упрощает дебаг софта с TLS позволяет следить за передаваемыми данными без ptrace.
Минусы? Навскидку:
- Прокся может стать узким местом по производительности (вряд ли сильно актуально);
- В теории, локальный зловред может использовать её для слежки, но если у тебя локальный зловред, то всё уже слишком плохо.
Что я упускаю? Почему это не стало относительно стандартной фичей? Или просто никто не додумался пока?
