04 Sep 14 20:52, you wrote to Vitaly Zaitsev: >> посоветуете? HTTPS надо либо пропускать как есть, либо резать, но не >> вмешиваться. Более того, в Firefox 32+ и Chromium 35+ ввели базу >> данных с отпечатками сертификатов известных ресурсов. В случае >> подмены сертификата браузер мгновенно закроет соединение и выдаст >> сообщение о вмешательстве. И это, я считаю, правильно.
DM> Эта база называется "список корневых центров сертификации"?
Предполагаю, что это база именно сертификатов конечных сайтов, а не CA.
Потому что в конторах обычно устанавливают пользователям принудильно сертификат корпоративного CA (сам так делаю), а потом перехватывают https трафик и подписывают перехваченное этим корпоративным CA (а вот так я уже не делаю). А неискушенный пользователь того не видит, ибо браузер не ругается (хотя если специально посмотрит, то увидит, но кто и как часто смотрит в свойства веб-страниц?).
И я вообще выступаю за децентрализацию SSL-сертификатов сайтов. Говорят DNSSEC даст нам такую возможность: SSL сертификат будет публиковаться прямо в DNS, и никакие УЦ будут не нужны. Вполне в духе раннего Интернета IMHO.
