05.09.2014 19:59, Vitaly Zaitsev пишет: > DM> Можно ссылочку на этот идиотизм? > Это не идиотизм, а грамотное решение, а то появилось слишком много нехороших > людей, которые любят подменять HTTPS сертификаты в угоду своим интересам. > Ссылка: https://wiki.mozilla.org/SecurityEngineering/Public_Key_Pinning
Hу вообщем вместо "соответствия домен:отпечаток для конечных сертификатов" которые получаются из самого сертификата видим соответствие домен:список хешей сертификатов УЦ которыми могут быть подписан сертификат сайта. Hу чтож это хотя бы не сломается в первую пару месяцев с внедрения. А вот с целями этого решения что-то не сходится. То что сертификатом пользователя может быть подписано что угодно заявлено прямо и недвусмысленно в описании, так что корпоративному SSL инспектору ничего не помешает. Итого защита идет не от многих желающих, а от многих УЦ. При этом УЦ несут большую денежную ответственность за подпись чего-то лишнего и вроде бы после таких инцидентов перестают существовать (хотя бы как УЦ).
--- ifmail v.2.15dev5.4 * Origin: NPO RUSnet InterNetNews site (2:5020/400)