05 Sep 14 17:20, you wrote to Vitaly Zaitsev: >> DM> Эта база называется "список корневых центров сертификации"? >> Hет. Это специальная база данных соответствия домен:отпечаток для >> конечных сертификатов. Пока в базе только крупные известные ресурсы >> (Google, Twitter, Yandex и т.д.), но со временем Mozilla и Google >> планируют расширять её.
DM> Можно ссылочку на этот идиотизм? DM> Конечно мир докатился до того что данные меняются реже чем ПО но все DM> же. Завтра яндекс поменяет скомпрометированный сертификат и DM> пользователи ПО получат проблемы на ровном месте.
Там хитрее: Public Key Pinning is a mechanism for sites to specify which certificate authorities have issued valid certs for that site, and for user-agents to reject TLS connections to those sites if the certificate is not issued by a known-good CA. Public key pinning prevents man-in-the-middle attacks due to rogue CAs not on the site's list
То есть Яндекс опубликует список УЦ, которыми имеет право быть подписан сертификат Яндекса. Левые УЦ Ростелекома или кульадмина Васи при этом пойдут лесом. А если Яндекс поменяет сертификат, ничего страшного не произойдет, если новый сертификат возьмет в том же УЦ.
