06.09.2014 0:56, Victor Sudakov пишет: > DM> Можно ссылочку на этот идиотизм? > DM> Конечно мир докатился до того что данные меняются реже чем ПО но все > DM> же. Завтра яндекс поменяет скомпрометированный сертификат и > DM> пользователи ПО получат проблемы на ровном месте. > Там хитрее: Public Key Pinning is a mechanism for sites to specify which > certificate authorities have issued valid certs for that site, and for > user-agents to reject TLS connections to those sites if the certificate is not > issued by a known-good CA. Public key pinning prevents man-in-the-middle > attacks due to rogue CAs not on the site's list > То есть Яндекс опубликует список УЦ, которыми имеет право быть подписан > сертификат Яндекса. Левые УЦ Ростелекома или кульадмина Васи при этом пойдут > лесом. А если Яндекс поменяет сертификат, ничего страшного не произойдет, если > новый сертификат возьмет в том же УЦ.
� Левый УЦ кульадмина Васи будет принят так как пользовательскому сертификату доверяют подписывать что угодно. У Ростелекома есть доверенный УЦ?! Первый раз слышу. В РФ вроде только у РСИЦ есть УЦ и то скорее всего релейбелинг. Так что Ростелеком шел лесом и без этой фичи. И даже если бы был УЦ то он его бы лишился в течении суток с первого использования не по назначению. Я 4 раза продлевал сертификат в одном и том же УЦ. Именно продлевал без каких либо изменений и повторных проверок. И за это время в 2 случаях мне давали другой промежуточный сертификат. Гуглу проще у него свой УЦ и есть резервный который ничего не подписывал на случай если основной скомпрометируют.
--- ifmail v.2.15dev5.4 * Origin: NPO RUSnet InterNetNews site (2:5020/400)
