Názor k článku Mozilla rozhodla: zítra přestane věřit CA WoSign a StartCom od j - HPKP je nepouzitelny predevsim proto, ze az se...
-
j (neregistrovaný)
HPKP je nepouzitelny predevsim proto, ze az se ti stane (jako ze se stane) ze ti nekdo cert slohne/revokuje/... tak ses v riti ty, i uzivatele (a vim ze toho tam muze bejt vic - to to jeste zhorsuje .... budem skladovat TB otisku klicu ... ).
Navic hsts je snad jeste horsi nez cookie, ip, agent ... a vsechny ostatni zpusoby smirovani dohromady. Protoze naprosto trivialne umoznuje identifikovat konkretni browser at uz prijde odkudkoli.
A pokud veris (jako ze stejne musis) dns, tak neexistuje duvod, proc by aktualni otisk klice proste nemoh byt v dns.
Resenim toho problemu by mohlo byt neco na tema dnscoin = dns zaznam ovlada ten, kdo od nej ma klice a jeho pravost povrzujou tisice serveru => miziva moznost ze nekdo domenu slohne a zmeni. Jenze to by pochopitelne znamenalo kompletni prekopani cely dns infrastruktury, a to vcetne toho, ze by jaksi nebylo technicky mozny trebas domenu vymahat soudne.
ČLÁNKY DO MAILU