> Например, есть у меня программа, которая коннектится ровно к одному серверу, и больше ей не
> нужно.замечательно, но у меня нет такой программы, а если бы и была - вряд ли я бы стал ради нее писать свой отдельный клиент.
Если сервер мой - скорее всего обернул бы траффик в туннель, и избавился от лишнего ненужно в виде openssl.
> "в openssl в частности такого механизма [как обмен ключами заранее, при личной встрече или
> по-другому] просто не предусмотрено". Да я могу вообще забить на все проверки openssl
и написать свою заново - можешь, теоретически. Но детей твоих кто кормить все это время будет - штандартенфюрер?
Это и есть "не предусмотрено".
> Ну вот видишь, сам же говоришь, что проблемы на уровне разработчиков (разработчиков браузеров,
> я так понимаю?),
нет, они начинаются с разработчиков самой openssl. Вот включая их любовь в каждой новой версии решать за тебя, какими протоколами тебе "безопастно" пользоваться. Хотя это вообще не собачье дело низкоуровневой библиотеки.
И заканчивая ее интерфейсом - совершенно невменяемым, все эти закорючки внутренних макросов - они не только потому что разработчики браузеров такие козлы (хотя они да) а еще и потому, что она возвращает крайне мало или ноль информации и в неудобоприменимом формате.
отчасти из-за этого мазила пилила свою libnss (правда, получилось как всегда)
> Если хочется устроить проверки на данных, к которым openssl доступа не имеет
наоборот - только она к ним доступ и имеет, если ты вообще планируешь ей пользоваться.
> Вот эта информация откуда? Просто предположение?
оттуда, что я застал и ssleay, и ее "документацию" (впрочем, у openssl много лет не было никакой вообще) и радостные письма разработчика "го, я создал, мы теперь можем https!"