Исходное сообщение
"Google и Apple присоединились к блокировке сертификатов WoSi..." Отправлено xm, 02-Ноя-16 01:03
> Я написал про такой сценарий: ... "Нет, сынок, это фантастика". Вы заранее не можете знать какой сертификат именно "тот самый", который нужно проверять, если ранее не были на этом сервере. То есть та же "проблема первой ночи", которая возникает и с HPKP. Поскольку сначала идёт коннект (и, соответственно, акцепт сертификата), то что помешает MitM'щику отдать вам исправленный скрипт проверки или не отдавать его вовсе? На практике может спасти единая база выданных сертификатов, попытку создать которую предпринял Comodo - https://crt.sh Тогда, прежде чем соединяться, можно получить данные о выданных для сайта сертификатах и уже требовать при коннекте именно их. Но встаёт вопрос, во-первых, поддержки такого механизма на стороне браузера, а, во-вторых, и это главное, степени доверия содержимому такой базы.