Исходное сообщение
"В Chrome планируют удалить поддержку технологии PKP (Public ..." Отправлено пох, 30-Окт-17 01:22
> много говорится да-да, говорится много. Табличку "bullshit" можно поднимать после первых десятка строк. > Если все будет реализовано по уму и так, как описано то pkp это не заменит практически никак, ручную привязку сертификата к конкретному хосту - совсем никак. Ваши возможности на что-то повлиять и вовсе сводятся к нулю, по обе стороны от мушки. 1. вы не можете держать свой лог-сервер - то есть, хоть обдержитесь, но CA вам никаких логов слать не будут. Доверяйте гуглю. 2. вы вряд ли сможете держать свой монитор, анализирующий логи по мере добавления - во-первых, это довольно дорогое удовольствие, во-вторых, наверняка логовладельцы захотят сделать на этом бакшиш (или просто зарейтлимитят - ну можно будет раз в день проверить, что твоему сайту еще не выдали десять сертификатов неизвестно кому, пользы от этого - ноль) Доверяйте гуглю. 3. из набора функций аудитора вы сможете самостоятельно разьве что проверить, что сертификат есть в логе. А он конечно ж есть, чего ж нам не есть. Вот нет ли там еще парочки - непонятно ни как проверить, ни что делать с этим знанием (они может валидны). "In most cases, the Certificate Transparency system can detect suspect certificates or CAs in a few hours instead of" immediately, as pkp did. Поправил, не благодарите. Ну и вишенка на тортике: Others will be run as subscription services that domain owners and certificate authorities can buy into. платите за воздух еще разок.