Исходное сообщение
"Google заблокирует сертификаты DarkMatter в Chrome и Android" Отправлено пох., 25-Июл-19 14:08
> Вот, кстати, не представляю. Может расскажешь, как правильно? ну для начала - банально. тот же pkp-наоборот, или то что делает(делал) certpatrol - "у уже знакомого нам сертфиката изменился CA - на какого-то даркшиттер, открываем сайтец или ну его нахрен?" Для этого надо, для начала, вернуть в браузер обратно поддержку гуя операционной системы, с рисованием диалогов, а не трэш-"страниц" - страница - она занята веб-содержимым (а диалог про сертификат мог относиться к 1x1px.gif на ней или css) Дальше больше - нормальные, а не "tls min level" настройки выбора протоколов и алгоритмов, per host, и, кстати, с нормальным доступом к per-host настройкам через опять же интерфейс, а не пиксельхантинг в букве i. Выброс на помойку sni - опять с предуреждением пользователю - "ты шел на одессу а вышел на какую-то cloudflare - хочешь ты передать ей информацию, или лучше нафиг?" Восстановление и расширение tls renegotiation, ликвидированной борцунами за псевдосекьюрить (после того предупреждения надо бы переинициализировать сессию - теперь уже для выяснения, а там вообще есть ли сертификат искомого сайта, опять с предупреждением пользователю, если его там вообще нет или вернули нечто странное - понадобится расширение протокола, ага, нет, меганавороты defective by design esni не нужны - шифрованный канал у нас уже есть) Чтоб взлетело в современном интернете, не для полутора фриков - его надо сперва у гугля отжать. В противном случае тот примет меры, чтоб не взлетело.