Názor k článku Yubikey Neo po dvou letech od Ondrej Mikle - Mně přijde, že pořád řešíte nějaký problém a...

Mně přijde, že pořád řešíte nějaký problém a jeho workaround v usecase, který jste nesdělil a mně ho nezbývá než hádat.

Původně jsme řešili, že existuje lepší cesta než poor man's key pinning kopírovaním certifkátu, resp. veřejného klíče všude. To je víceméně celá pointa X.509 a X.500.

Privátní klíč je nutný jenom pro vytvoření CSR. CSR může být podepsáno klidně offline u registrační autority (RA, ekvivalent validačního místa). Člověk přijde, ověří, že je to skutečně on - celá pointa osobní identifikace. Pak se u RA podepíše CSR, a bam! Nový certifikát. Ten bude fungovat i když byl podpis vygenerován offline. Člověk si ho okamžitě může nahrát do původního slotu.