LINUX.ORG.RU

История изменений

Исправление Stanson, (текущая версия) :

Постарается отказаться.

Бугагашечка. :)

Да. Certificate Transparency.

И как это поможет, если СА просто не разместит инфу о том, что выдан ещё один сертификат на какой-то домен?

Нет.

Да. Или гугль просто так CINNIC выкинул из хромого? А история с DigiNotar

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Не вижу чем они могут помочь. При сговоре CA и какого-нибудь абстрактного ФСБ у юзера с браузером в дефолте нет шанса узнать что сертификат - левый.

Это не так. Самоподписанный сертификат заменяется MITM-атакующим на другой самоподписанный сертификат и вся надёжность летит в трубу.

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.

Исправление Stanson, :

Постарается отказаться.

Бугагашечка. :)

Да. Certificate Transparency.

И как это поможет, если СА просто не разместит инфу о том, что выдан ещё один сертификат на какой-то домен?

Нет.

Да. Или гугль просто так CINNIC выкинул из хромого? А история с Dutch

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Не вижу чем они могут помочь. При сговоре CA и какого-нибудь абстрактного ФСБ у юзера с браузером в дефолте нет шанса узнать что сертификат - левый.

Это не так. Самоподписанный сертификат заменяется MITM-атакующим на другой самоподписанный сертификат и вся надёжность летит в трубу.

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.

Исходная версия Stanson, :

Постарается отказаться.

Бугагашечка. :)

Да. Certificate Transparency.

И как это поможет, если СА просто не разместит инфу о том, что выдан ещё один сертификат на какой-то домен?

Нет.

Да. Или гугль просто так CINNIC выкинул из хромого? А история с

Есть такая опасность. Но Certificate Transparency и Key Pinning в этом могут помочь.

Не вижу чем они могут помочь. При сговоре CA и какого-нибудь абстрактного ФСБ у юзера с браузером в дефолте нет шанса узнать что сертификат - левый.

Это не так. Самоподписанный сертификат заменяется MITM-атакующим на другой самоподписанный сертификат и вся надёжность летит в трубу.

Вот только юзер мгновенно получает сообщение о том, что сертификат поменялся и теперь какой-то другой, в отличии от сертификата подписанного СА.