>> VS> А проверять ты как собираешься подлинность этого сертификата? >> 1. скорее всего - он подлинный. Потому что крайне маловероятно что при первом >> же моем заходе в сбер или гугль кто-то уже успел его подделать. DM> Вероятность того что когда ты в первый раз с данного устройства DM> заходишь на сайт он кем-то взломан гораздо больше вероятности если он взломан - мы вже прийихав, и сертификат не поможет. Вероятность что в моем уютном мире кто-то всерьез занялся mitm attack и тут же не спалился - небольшая. DM> того что кто-то взломал СА подписал им нужный тебе сайт и взломал сайт. DM> Hе согласен? не согласен. Потому что взломов конкретно "моих" банков и пэйплэла в истории не значится, а добровольное-с-песнями, не говоря уж о корпоративных файрволах - неоднократно.
DM> Да и кстати тебе ничего не мешает сделать систему как тебе нравится. в ней нет нужного функционала.
DM> Удаляешь ВСЕ доверенные сертификаты. При первом входе на сайт DM> получаешь страшное предупреждение. Помечаешь сертификат как доверенный. после этого он тупо приляпывается ко всему, не взирая на то что выдан на конкретный DN.
DM> При любой смене снова получишь страшное предупреждение. DM> Ты не этого хотел? примерно. Еще возможность в первый раз - таки проверить подпись CA и что именно ей подписано - "зеленым" есть основания доверять больше.
> Alex
--- ifmail v.2.15dev5.4 * Origin: Demos online service (2:5020/400)