> много говоритсяда-да, говорится много. Табличку "bullshit" можно поднимать после первых десятка строк.
> Если все будет реализовано по уму и так, как описано
то pkp это не заменит практически никак, ручную привязку сертификата к конкретному хосту - совсем никак.
Ваши возможности на что-то повлиять и вовсе сводятся к нулю, по обе стороны от мушки.
1. вы не можете держать свой лог-сервер - то есть, хоть обдержитесь, но CA вам никаких логов слать не будут. Доверяйте гуглю.
2. вы вряд ли сможете держать свой монитор, анализирующий логи по мере добавления - во-первых, это довольно дорогое удовольствие, во-вторых, наверняка логовладельцы захотят сделать на этом бакшиш (или просто зарейтлимитят - ну можно будет раз в день проверить, что твоему сайту еще не выдали десять сертификатов неизвестно кому, пользы от этого - ноль)
Доверяйте гуглю.
3. из набора функций аудитора вы сможете самостоятельно разьве что проверить, что сертификат есть в логе. А он конечно ж есть, чего ж нам не есть. Вот нет ли там еще парочки - непонятно ни как проверить, ни что делать с этим знанием (они может валидны).
"In most cases, the Certificate Transparency system can detect suspect certificates or CAs in a few hours instead of" immediately, as pkp did. Поправил, не благодарите.
Ну и вишенка на тортике: Others will be run as subscription services that domain owners and certificate authorities can buy into.
платите за воздух еще разок.