05.09.2014 9:18, Victor Sudakov пишет: > DM> Эта база называется "список корневых центров сертификации"? > Предполагаю, что это база именно сертификатов конечных сайтов, а не CA. > Потому что в конторах обычно устанавливают пользователям принудильно сертификат > корпоративного CA (сам так делаю), а потом перехватывают https трафик и > подписывают перехваченное этим корпоративным CA (а вот так я уже не делаю). А > неискушенный пользователь того не видит, ибо браузер не ругается (хотя если > специально посмотрит, то увидит, но кто и как часто смотрит в свойства > веб-страниц?). > И я вообще выступаю за децентрализацию SSL-сертификатов сайтов. Говорят DNSSEC > даст нам такую возможность: SSL сертификат будет публиковаться прямо в DNS, и > никакие УЦ будут не нужны. Вполне в духе раннего Интернета IMHO.
И это именно то для чего сертификаты придуманы. Децентрализация в наличии. Список кому ты доверяешь находится у тебя - можешь доверять своему сертификату, можешь не доверять какому-нибудь комодо. Изменить список доверия провайдер не может, а может только администратор клиентского устройства. Твой ПК доверяешь кому хочешь. ПК в конторе доверяешь тому кому хочет контора. Сел за общественный ПК в интернет-кафе да хоть 100 раз обпроверяйся, отпечатки,пути все равно все что захотят утащат.
--- ifmail v.2.15dev5.4 * Origin: NPO RUSnet InterNetNews site (2:5020/400)