CityCat4

В HTTPS условно невозможны атаки типа MITM

С х.. ли баня-то сгорела? В https атаки типа MitM цветут пышным цветом и даже не всегда считаются атаками. Например, берем корпоративный прокси с бампингом. Он выполняет, фактически именно MitM - установив тебе свой корневой сертификат, он "на лету" подменяет целевой сертификат своим, получает shared secret и спокойно себе расшифровывает соединение.
То же самое весьма скоро будет у нас всех на компах - когда всех обязуют поставить госсертификат, без которого в тырнет просто не выйдешь.

мы в любом случае чувствуем себя небезопасно и неаноимно

Мы - это кто? Даже если провайдер (РКН, тащмайор) умудрится как-то узнать, что я смотрю порнуху - мне это в общем-то поуху. А политоту я в тырнет не тащу - ученый...

но сами данные никто увидеть не сможет?

Кроме самих даных есть еще множество косвенной информации, по которой можно достаточно точно судить о том, что "внутри". Кстати, защита некоторых протоколов на этом и базируется - убедить, что "внутри" безобидный https с котиками.

как тогда это стыкуется с безопасностью и шифрованием данных в HTTPS, если DPI может блочить по контенту?

на основе предположений. Например:
1. Вася каждый день ходит на сайт 1.2.3.45 и прокачивает стопицот метров трафика
2. На сайте 1.2.3.45 отвечает простейший сайт с котиками, который не в состоянии генерить такой трафик
Вывод: сайт 1.2.3.45 - VPN, а сайт с котиками - заглушка, Васю вызвать на беседу.

Идеальное шифрование бывает только в идеальном мире. А мы живем в мире реальном, где внедрению идеального шифрования обычно мешает слабость человеческой природы :) обычно именуеная как "терморектальный криптоанализ" .

Эх... начнем с начала - от кого пытаетесь защититься? Да, таких программ навалом, есть и встроенные, и невстроенные. Считаете, сможете написать лучше чем VeraCrypt? Вы оптимист...

А модель нарушителя какова?

В абстрактной сферический ситуации MitM невозможен до тех пор, пока у тебя в хранилище доверенных корневых центров нет сертификата, который позволит злоумышленнику на лету подменять сертификаты сторон.
В реальной жизни, поскольку это действительно серьезное препятствие, этот сертификат там окажется административно-командными мерами. Например, в локальной сети предприятия он ставится доменными политиками.

Банальнейшая ошибка - нужно отключить в настройках VPN использование его как дефолт роута. Ну то есть при его включении весь трафик начинает идти через него и естественно посылается на юга.

Нет конечно же. :)

что ЦС зашифровал своим ключом?

Ничего :)

CA подписал сертификат, сформированный на основе запроса на сертификат, переданного ему. Ключ же данного сертификата генерируется в момент формирования запроса на сертификат. Да, бывает что CA генерит и ключи тоже, но это вещь, которой доверить нельзя.

Зачем же тогда нужен CA?

СA своим авторитетом (разнятся CA только авторитетностью) подтверждает подлинность представленной ему в CSR информации и формирует на его основе сертификат. Технически разницы между Thawte и "Васян Инкоропрейтед" нет, разница только в том, кто кому верит. А сам сертификат - это просто информационный контейнер, защищенный от изменения.

Файл .ca - это файл .ca. Что он из себя представляет, зависит от его содержимого.

Несколько сертификатов в формате PEM можно обьединить в один файл, так делают довольно часто. Bundle (бандл) - это буквально "связка", "пачка", то есть некоторое количество чего-то.

Как мне на основе сохранённого закрытого ключа, создавать новые открыты?

Никак :) Открытый ключ создается в тот же момент, что и закрытый и они представляют из себя пару ключей - одному закрытому соответствует один открытый.

Сколько бит должно быть в пароле, чтобы его гарантированно не сломали ... любые спецслужбы мира?

Нисколько. Спецслужбы мира не работают с техникой :) Спецслужбы мира работают с людьми. Вы вообще хоть когда-нибудь хоть по чему-нибудь общались с самым банальным следаком? Нет же, наверняка. Оттого и пребываете в убеждении, что в момент, когда вами начнут заниматься спецслужбы, в отношении Вас будут соблюдаться какие-то законы :D

Для частотного анализа маловата строка. А вообще рекомендую перечитать рассказ "Пляшушие человечки" - мне он почему-то сразу вспомнился

"Все украдено до вас".
У Synology есть такое решение - типа частного облака, мы так с контрагентами документацией меняемся.

Много-много лет назад, в конце 90-х, в г. Новосибирске существовала такая Granch BBS. Там был очень прикольный FAQ, где был прям врезавшийся мне в память вопрос:

Q: Я перепил и забыл свой пароль. Что делать?
A: Перепить еще раз и вспомнить его

Давным-давно канули в историю BBS. Но вопрос этот актуален и посейчас :D

Для винды - axcrypt. Для линуха - openssl

Никак. Если при генерации сертификата был использован шифр, который не поддерживается openssl - то чем openssl преобразовывать будет?
Ну или в КриптоПро обратиться, в саппорт.

Мне неизвестны ни OSS решения, ни коммерческие. CA - это не решение. CA - это авторитет :) Если у Вас сеть на винде - есть оснастка "Служба сертификатов" - служба ставится (на AD сервер), запускается, генерится корневой сертификат - и вперед, выпускать. Но предварительно естественно всем, кто будет пользоваться Вашими сертификатами - нужно поставить Ваш корневой в доверенные.
Вот это и есть самая большая проблема. Потому что если Вы планируете корпоративный CA - Вы это запросто сделаете. А если общедоступный - он будет никому не нужен, потому что никто его не знает.

Вообще Вы слишком мало написали для ответа. Сертификаты - тема серьезная, мало кому понятная. Если что - мыло в профиле, могу поделиться набором скриптов (которые собственно и есть CA :)), которыми рулю конторским CA. Но скрипты для линуха (к сожалению, нормально вести CA для выпуска почтовых сертификатов, то есть сертификатов для использования в MS Outlook и прочих почтовых клиентах, без стороннего софта нельзя)

Что значит "надежно" и от кого собираетесь шифроваться? (Жена, сосед, работодатель, государство? - у всех у них разные возможности)