> таки чем это тебе поможет?Например, есть у меня программа, которая коннектится ровно к одному серверу, и больше ей не нужно. И я могу openssl подать только те сертификаты (в том числе самодельные), которые нужны для проверки сертификата того сервера. И никакой Digicert или Comodo мне сертификат того сервера не подделает.
И, безотносительно того, поможет мне это или нет, я просто поправил твое утверждение "в openssl в частности такого механизма [как обмен ключами заранее, при личной встрече или по-другому] просто не предусмотрено". Да я могу вообще забить на все проверки openssl и сравнить серверный сертификат побитово с заранее полученным эталоном, если захочется. Ну, то есть конкретно это утверждение твое неверное. А другие может и верны. И общий посыл тоже правильный.
> Проблема в ее неумении обрабатывать "ошибки" (которые на самом деле не ошибки, а несовпадение ее представлений о мире с реальностью) и предоставлять выбор приложению и через него - пользователю - причем эта проблема сидит на уровне разработчиков
Ну вот видишь, сам же говоришь, что проблемы на уровне разработчиков (разработчиков браузеров, я так понимаю?), а не на уровне openssl. А openssl проверяет то, что согласно ее функционалу логично проверять и на тех данных, к которым у openssl есть доступ. Если хочется устроить проверки на данных, к которым openssl доступа не имеет - это другой код или другая библиотека должна делать.
> автор оригинальной ssleay вовсе не думал ни о какой безопасности, ему надо было "как-нибудь с юникс-системы приконнектиться к шифрованному серверу".
Вот эта информация откуда? Просто предположение?