в итоге получили приоритет физического адреса над вымышленным кодом. => Не понятен профит от кода. Тогда уж сразу кодировать координатами на глобусе, и не мучиться.

Скорее всего, на почте в отделе доставки отдельная пересортировка и раскладывание по физическим адресам… Вот только сам почтальон проверить корректность не сможет.

Не обязательно, доставка из Москвы что в Ленинград, что в Казань стоит примерно одинаково. Но мой переезд из Питера в Казань для отправителя из Москвы — дополнительные расходы для компании доставщика / почты.

Полагаю идея умерла,
так как идентифицировать пользователей используя асимметричную криптографию, но не используя x509 — не стреляет.

Свободу и самостоятельность никто у вас не планирует забирать. Свой сертификат для SSL вы можете взять откуда угодно, никто не в праве вас ограничить. Использовать сертификат выпущенный российским УЦ пока не получится именно из-за чехарды с пространством доверия. Как только ФСБ сертифицирует ГОСТы в ISO и их поддержка появится во всех системах по умолчанию, использование для SSL сертификата выданного российским УЦ будет не лишено смысла.

Замечание верное, так как в облачной среде свои проблемы. Статья была не об этом, а о изменении в структуре PKI в свете изменений ФЗ. Если есть желание проговорить про проблемы облаков, и мобильной среды, то готов присоединиться, но не в этом треде.

После генерации в ГУЦ приватный ключ АУЦ находится в HSM, откуда его извлечь нельзя. Вам это поможет?

Весь стек технологий PKI работает как под WIN так и под Linux\Mac. Отличия только в том, что под винду реализаций криптопровайдеров больше. Но большинство производитетей, в свете импортозамещения, все более переключаются на Linux\Mac.

Люди, к сожалению, совершают ошибки, и мое мнение — надо создать инфраструктуру PMI в дополнение к PKI, чтобы потеря ключа с пином не стала равносильна смерти владельца :)

Вы абсолютно правы, по этому, в скором времени появится такой объект как "Атрибутный сертификат", и я надеюсь нормальная инфраструктура PMI для этого.

Банки используют такую же ЭП как и все остальные участники пространства доверия. Указанное изменение должно коснуться и интернет банкинга.
Но это породит и новую проблему — использование одной ЭП и для аутентификации и для подписи документов.

1. Усложнит жизнь УЦ — да, в доверенных один сертификат ГУЦ — да.
2. Да. Или использовать уже аккредитованные УЦ которых около 300 в РФ
3. Именно
4. Вы в разработке недавно? Для меня это история всей жизни :))
5. не в курсе прецедентов.

Спасибо за развернутый комментарий.

Прошу прощения, ответил отдельной веткой.

Спасибо, но минусуют тут знатно ;)

Состав полей сертификата определяется 63-фз и приказом #795 ФСБ. Есть понятие ограничений сертификата ( например сертификат может быть использован только для авторизации), но понятия область действия нет. Это скорее всего самодеятельность УЦ, с которой и борются правки.
Что касается oid, их ведение давно централизовано, и есть международный орган который ведет единое дерево OID ( oid-info.com). В России орган отвечающий за ведение национального дерева oid не определен. Пока его ведет инфотекс.