Кот Абсолютный

Вид валидации на содержимое сертификата не влияет, влияет он только на то, получит он "зеленую плашку" или нет и соответственно на продолжительность и сложность проверки данных, которые Вы передадите им для выпуска сертификата. Для придания большей солидности можно приобрести EV-сертификат. Он, конечно стоит денег - но репутация вообще бесценна.

Приобретать сертификат лучше у известного поставщика - Thawte, Comodo. Если в России - можно приобрести у nic.ru (при этом CА будет все равно Comodo, но дешевле)

Зависимость от типа - не знаю, не встречал, а вот зависимость от поставщика - запросто. Крупные СА - тот же Thawte есть даже в самых ископаемых телефонах, те, что помельче - к ним и доверия меньше и в устройстве может не оказаться.

Обычно советуют Let's Encrypt. Оно конечно можно, если не боитесь доверять установку сторонних скриптов и тому, что то, что сегодня сделали с StartSSL, завтра сделают с ним. Пока большие - Mozilla, Google, Microsoft - не создадут свой бесплатный СА - я не вижу альтернативы.

АртемЪ дал замечательный ответ. Понятия "безопасный" и "удобный" - зачастую противоречат друг другу и как правило содержат взаимоисключающие требования. Я обычно спрашиваю в таких случаях - а вектор атаки каков? Чего опасаетесь? Если деанонимизции - то есть способы. Но они очень муторные и мееееедленные. Представьте себе, что Вы - агент по продаже женских купальников, работающий в Саудовской Аравии - чуть что, просто голову чик и все.

Никаких.

DSL будет жить только там, где безальтернативно. Например, тут как-то писали - "деревня, деревянный дом, Ростелеком". Стоимость прокладки туда оптики сопоставима с ценой хорошей иномарки и даже радиоканальщики в пределах видимости вряд ли есть. Вот там DSL будет жить. Пока не появятся более другие альтерантивы, тот же 4G/5G. Его достоинства и недостатки хорошо известны и с каждым годом он будет все более отползать в специфическую область - например у нас в городе до сих пор работает один-единственный провайдер пейджеров.

1. скомпилите под любой контроллер hello world на С и на плюсах. Потом посмотрите на размер получившегося бинаря. Для контроллера размер бинаря имеет не просто значение, а решающее значение.
2. Итоговый (ассемблерный) код проще, выполняется быстрее, оверхед на абстракции меньше - программы для контроллеров очень часто пишут полупрограммисты-полужелезячники, которые мыслят в терминах железа и не нуждаются в уровне абстракции плюсов

Точно рутовано? Вообще говоря Permission denied означает отсутствие прав на выполнение операции...

Гугл первый продвигает передовые технологии шифрования и хром первый начинает орать при использовании устаревших протоколов. Так что я думаю учитывает и даже ранжирует по тому, каким СА сертификат выдан.

Сертификат может получить как физик, так и юрик, но физик может получить только самый простой сертификат с упрощенной проверкой. Он конечно стоит недорого, но никаких EV и зеленых полосок там не будет.

Ну вот несколько примеров.

# Все от программы ntpdate в файл /var/log/ntpdate
if $programname == 'ntpdate' then                       /var/log/ntp

# все остальное в файл /var/log/daemon
if $programname != 'ntpdate' \
    and $syslogfacility-text == 'daemon' then           /var/log/daemon

# Сообщения MARK в файл /var/log/marks
if $msg == '-- MARK --' then                            /var/log/marks

# остальные в /var/log/kernel
if $msg != '-- MARK --' \
    and $syslogfacility-text == 'kern' then             /var/log/kernel

У Rsyslog несмотря на наличие документации с примерами бяда-бяда...

hidden-ом он является только для обычного юзера, да и тот может догадаться поставить Firebug - и все, Ваш hidden уже нифига не hidden...

Это не роутер для дома :) Это соховское железо. Дома IKEv2 нужен только гикам вроде Вас :) Или меня :) Большинство домашних пользователей от сокращения IKEv2 впадет в ступор :)

Неужели микротик наконец-то сделал поддержку IKEv2?

Нужно не в сертификационный центр загрузить - а загрузить и установить в качестве доверенного корневого сертификата сертификат СА, выдавшего Вам сертификат. Корневой сертификат скачивается обычно с сайта СА. Если есть промежуточные сертификаты СА, то их нужно установить тоже. FF использует свою базу сертификатов, ишак и хром - системную, опера - тоже свою.

Возможно такая ошибка возникает оттого, что сертификат выдан малоизвестным CА

Согласен с Sergey Goryachev - домен ни о чем. Но можно попытаться выставить его на аукцион. Аукцион не стоит ничего, висеть там домен может сколько угодно. Продать его можно на nic.ru. Стоимость домена может быть от стоимости регистрации в зоне .рф до неограниченного значения. Мы, например имя nztm.ru купили за 30 тыс. Но Вам это не светит :)

При линке двух микротиков там есть несколько нечевидных моментов, не описанных ни в одной документации

1. При формировании политик нужно указывать серые IP.
2. Шифрование SHA256 работает только при линке двух микротиков между собой.

Пример настройки:
(микротик с IP 1.2.3.4 связывается с микротиком с адресом 172.16.1.1, перед которым стоит роутер с адресом 4.3.2.1. За первым микротиком сетка с адресом 10.1.1.0/24, за вторым - 192.168.1.0/24)

Cо стороны микротика с серым IP

/ip ipsec peer
add address=1.2.3.4/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 proposal-check=strict
/ip ipsec policy
add dst-address=10.1.1.0/24 sa-dst-address=1.2.3.4 sa-src-address=\
    172.16.1.1 src-address=192.168.1.0/24 tunnel=yes

Cо стороны микротика с белым IP:

/ip ipsec peer
add address=4.3.2.1/32 dpd-interval=disable-dpd enc-algorithm=\
    aes-128,aes-192,aes-256 hash-algorithm=sha256 passive=yes proposal-check=strict
/ip ipsec policy
add dst-address=192.168.1.0/24 sa-dst-address=4.3.2.1 sa-src-address=\
    1.2.3.4 src-address=10.1.1.0/24 tunnel=yes

Пример конечно без сертификатов, только на PSK, но наличие или отсутствие сертификатов не влияет на настройку

nginx замечательно делает все что Вам надо

Оригинальной документации на OpenSSL на русском никогда не было и скорее всего и не будет, есть только переводы. Для того чтобы понять, как он работает нужно учиться читать литературу на языке оригинала. Собственно говоря, функция OpenSSL в поднятии https состоит только в том, чтобы сам сертификата сгенерить, как его подключить к серверу - это уже маны на апач (ну или на чем там у Вас сервер) читать.
Впрочем могу одну книжку порекомендовать - Построение защищенных корпоративных сетей Там есть и про сертификаты, и про апач

Когда-то играл в Battle for Westnot, но давно забросил. Система для работы, для игрух дома винда стоит :)

Подвох в том, что деньги попросят потом. Сначала нужно чтобы "рыбка клюнула на мышку, важно чтоб не сорвалась"... (С) Летучая мышь
Нет там конечно никакого ни фонда, ни мильенов :) Будут некоторое время дурить и просить денег на какие-нибудь комиссии, страховки, еще-что-нибудь-на-что-хватит-фантазии. Некоторые умудряются таким образом потерять солидные суммы...

Очень многое зависит от того, чем перевозить, что перевозить и на какое расстояние перевозить.
На одном из предыдущих мест работы - оптовой сети с филиалами по Сибири системники постоянно отправлялись собственной доставкой на фурах. Просто клали в коробку, в которой покупали, тщательно уплотняли пенопластом и бумагой, заклеивали и вперед. Обязательно подписывали что отдел ИТ - грузчики были предупреждены.
По городу вообще никаких проблем перевезти в родной коробке - только ручку из скотча приклейте.
Если будут кидать-бросать - винты лучше снять и отправить в отдельной небольшой коробочке с тщательным уплотнением

Конечная точка какая-нибудь находится всегда.

Например, электронная почта с сертификатами - у каждого пользователя сертификат, он регулярно обновляется, принудительное шифрование при отправке... Да, почта хранится в зашифрованном виде - ни админы, ни кто еще ее не прочитают, но
- ее может читать тот человек, что генерит и выдает сертификаты
- ее можно скопировать в время работы приложения, используя недокументированные фичи (и именно так это и делается)

Так что, если приложение хоть как-то данными оперирует - оно должно будет их видеть в расшифрованном виде - иначе оно работать не сможет. А если оно сможет их видеть - сможет и скопировать :)

Согласен с silverjoe
Провайдер, как я понял один - РТК. Значит и канал один, а в наличии два способа подключения - PPTP либо статический IP. Микротик, конечно сумеет и туда и туда зацепиться - но нужно ли? Канал-то все равно будет один.