> А кто юзал HPKP? я юзал. Пока были вменяемые CA, и пока это мне ничего не стоило.
Для ее использования жизненно необходимо иметь возможность получать несколько сертификатов одного и того же сайта, разумеется, не экспайрящихся через три дня. Запрещенные гугломафией ca такую возможность предоставляли, причем - бесплатно.
> Все боятся, и даже если ты не используешь эту технологию, она тебе потенциально угрожает
если ты - рукожоп, она тебе угрожает - тем что ты не сможешь быстро замести крошки под ковер и сделать вид что так и было.
По твоей ссылке все примеры именно того, от чего эта технология и защищала - нет, не тебя вовсе, твоих пользователей. Именно пользователей по изначальной задумке она и должна была защищать. И им совершенно не надо быстро-зайти на твой сайт, если ты проимел свои сертификаты или того хуже твой сайт был взломан. Банкроться, ты доказал свою ненужность и опасность для своих юзеров.
теперь ее будет юзать только гугль, мурзила, m$ и apple. У них нет проблемы бесплатно выписать себе хоть миллион сертификатов, впрочем, проблемы васяна, проимевшего и основной и запасные, у них тоже нет, васянам не дают к ним доступов. (и нет, хихи, никто не обещал что телеметрия тоже пойдет без pkp)
Кстати, теперь у них нет и проблемы за деньги выписать себе твой сертификат, если г-ну майору понадобится - поскольку они контролируют LE, а больше тебе и деваться некуда.