В новом #
Firefox 72 вслед за Google #
Chrome таки
выпилили механизм
HPKP (подробнее см., например, статью "
Технология HTTP Public Key Pining: внедрение и автоматизация совместно с Let's Encrypt").
В этой связи испытываю смешанные чувства. С одной стороны, с помощью HPKP можно легко "отсрелить себе ногу", с другой стороны - а где альтернатива механизму контроля со стороны владельца сайта / сертификата?
Им мог (и я считаю должен) бы стать #
DNSSEC / #
DANE, но поползновений в эту сторону я не вижу уже много лет.
Certificate Transparency, которую активно форсят, на данную роль мало подходит, поскольку, опять же, замыкает доверие на #
CA.
Фактически, теперь со стороны владельца нет способов проконтролировать достоверность используемого на сайте #
TLS сертификата и повлиять на возможность просмотра контента пользователем в случае если произошла подмена.
#
russian #
lang_ru #
HTTP #
browsing #
security