VS>> Hо в целом идея, чтобы владелец сайта мог контролировать, каким VS>> УЦ позволено выдавать сертификаты на его домены, а каким не AK> вероятно, интересна яндексу, но совершенно неинтересна мне.
В данном случае, я считаю, интересы мои и Яндекса совпадают.
Если Яндекс или Сбербанк никогда не просил у УЦ Чунгва Телекома сертификата на yandex.ru или sbrf.ru, а тот взял да выдал такой сертификат - это не к добру ни Сбербанку, ни мне как его пользователю.
VS>> позволено, представляется мне здравой. Я и так уже давно с VS>> сомнением гляжу на список УЦ, которые по умолчанию запиханы в VS>> браузер. Почему мне предлагается доверять какому-то Чунгва VS>> Телеком, AK> не тебе, а лохам. Лохи и должны страдать, "для того и брали".
AK> Hо с моей точки зрения, _правильная_ схема - доверять конкретному AK> экземпляру сертификата, в количестве одна штука == один сайт.
А проверять ты как собираешься подлинность этого сертификата? Звонить в Google Inc или в Сбербанк и просить по телефону продиктовать отпечаток?
В PGP как раз такая схема, как ты пропагандируешь. И где этот PGP? Только повод гикам пиво попить на key signing parties.