> ну вот де-факто - есть.

Это "де юре", а не де факто. Типа, пользуются полтора гика.

> А предъявлять паспорт и снилс входя в магазин за хлебушком - желающих
> нет.

Да серьёзно что ли? Все внезапно стали снова платить наличкой? Любая транзакция по карте -- это паспорт и ИНН (может, и не снилс, точно не уверен).

> там совсем другой подход - никаких "trusted ca". По этой причине, кстати,
> и не работает. Гладко было на бумаге.

Ровно потому, что есть альтернатива, с корневыми УЦ. Ходили бы люди в раз в год в Связной выбирать УЦ из списка, система была бы поживее.

> сейчас доверяют подписи этим сертификатом на сертификате васяна. Причем принята масса специальных
> мер, чтобы просто сертификату васяна ты доверять не мог. Включая и
> его одноразовость.

Кто тебе мешает-то? Добавь васянский сертификат в доверенные, и пользуйся. Самоподписанный SSL работает, пусть и с ворнингом. Только как ты узнаешь, что это васян, а не MITM.

> гугл и мурзила - скорее государство в государстве.
> Ничего личного, just a business.

Плевал я на гугл и мурзилу. Им ничего, кроме впаривания мне рекламы, от меня не нужно. А почитать их код я могу свободно, чего про "госуслуги" пока даже помыслить невозможно.

> Вполне коммерческие предприятия. С умненькими мальчиками там работающими.

Тут я вообще ничего не понял, какая-то конспирология. Хуавэй сегодня есть, а завтра его нет. Хотя нет, Хуавэй китайцы спасут в случае чего, пока Трамп на него обижен, но Трамп тоже не вечен. Сдохнет Хуавэй, и забудем про него, и вся работа умных мальчиков улетит в унитаз.

> это совершенно безопасно. Ты замок в двери меняешь каждые пол-года просто на
> всякий случай?
> Или все же - только когда и если потерял ключ?

Ни хрена себе безопасно! Я до сих пор по половине офисов старых работ могу пройти как по паркету, потому что заблаговременно делал копии ключей. Гавно твоя аналогия.

> А ключи от self-signed сертификатов CA потерять гораздо сложнее чем ключи от
> квартиры - они при правильном обращении (и это _проверяется_ прежде чем
> твой сертификат добавят мурзогугли - впрочем, последние двадцать лет они только
> свою марионетку добавили, а проверка доверена каким-то комитетам, не умевшим правильно
> настроить веб-сайт) не то что из дома не выносятся, а вообще
> не используются никогда. Используется второй или даже третий intermediate. Ключ от
> основного нужен только если их понадобилось перевыпустить. Ну или подписать вот
> ключ другого CA. Случается примерно раз в 20 лет.

Не надо ничего терять. За двадцать лет хороший человек легко превращается в мудака, а мудак в хорошего человека.