Názor k článku Mozilla rozhodla: zítra přestane věřit CA WoSign a StartCom od Lojzak - Tak hlavně HSTS je jen dočasná technologie. Kdyby...

Tak hlavně HSTS je jen dočasná technologie. Kdyby se natvrdo zařízlo HTTP, tak by potřeba nabyla. Ale protože průměrný správce webserveru si radši bude sedět ve své malé zaprděné kanceláři v suterénu a nadávat na HTTPS místo toho, aby se ho naučil konfigurovat. A věci jako preload list HSTS jsou neudržitelné. A situace je o to horší, že na preload list se dostane úplně každá doména, u které se o to požádá.

HPKP je ale docela dobrá věc. Trochu to připomíná SSH až na to, že na rozdíl od SSH mám u HTTPS+HPKP už na začátku docela slušné ověření a při další návštěvě už s nakešovou HPKP hlavičkou mám jistotu, že je vše v pořádku. Jak jsi psal, DANE mi nepomůže proti útokům, kde útočník ovládne DNS.

Když je podle tebe systém CA megaprůser a DANE je problém, jak vypadá dobré řešení?