Názor k článku Šifrované SNI lepí díru do soukromí, jako první ho bude umět Firefox od Clovek - Pokud to skončí předáním alespoň serverového certifikátu, tak...

_{Pokud to skončí předáním alespoň serverového certifikátu, tak HPKP nebo jiný postraní kanál opravdu netřeba (ten už vytvořila CA), pro detekci na klientu stačí když přihodí privátním klíčem podepsanej ten původní ECDH klíč.}

--- Ziskanim certifikatu z DNS mi prijde lepsi nez HPKP. Ale pokud chytnes celou komunikaci, tak tam muzes i nahradit ten podepsany ECDH klic (priklad, kdy ti nekdo narve svoji CA do systemu/prohli­zece). Dobra odpoved je kontrola certifikatu pres ty podepisovaci sluzby, tahle to asi nahradi dobre (pokud se opet nestane problem s MiTM).

ad spravci...
--- Souhlasim, ze kdyz se bude jen cekat na katastrofu, tak proste prijde. Jen podle me neni reseni overhead v aplikacich na security, ale pristup a zodpovednost kazdeho jednotlivce. Pokud bereme premisu, ze v aplikaci je chyba, ktera jde zneuzit utocnikem -> jakou mame jistotu, ze chyba neni v antiviru/firewallu co tomu ma predchazet. Pokud se jedna o rychlost "obrany", souhlasim, ze by bylo rychlejsi to globalne rezat na FW. Kazdopadne dokud do toho nekdo bude moci cumet, nekomu to bude vadit a bude vymyslet, jak do toho necumet... To uz pak muzeme rovnou na vsech FW zakazat 443, aby byla komunikace open. Ze vetsina webu nepojede smula -> ale virus cestou odhalime a nestahneme..

ad security:
--- Jasne, zustavaji posledni 4 metadata (IP1, PORT1, IP2, PORT2) , ktere se jednoduse resi nejakou cibuli (proxy, vpn, atd)