Hlavní navigace

Názor k článku Čínský WoSign vydal certifikáty pro GitHub běžnému uživateli od Vario - Ne, ale kupodivu k některým webům (jako právě...

  • Článek je starý, nové názory již nelze přidávat.
  • 1. 9. 2016 16:20

    Vario (neregistrovaný)

    Ne, ale kupodivu k některým webům (jako právě zmiňovaný GitHub!) se připojuji pravidelně. A přesně tam by HPKP zabránilo potenciálnímu MITM útoku s certifikátem vydaným evil CA.

    A pokud někdo střídá certifikáty podepsané různými soukromými klíči jak ponožky, je to chyba. Nicméně pokud je těch soukromých klíčů omezená množina, ani to nevadí, protože HPKP samozřejmě umožňuje pinnovat otisky vícero klíčů najednou (dokonce je to dle specifikace "překvapivě" povinnost mít pinnovaný alespoň jeden záložní klíč, který by měl člověk držet offline a použít jen v případě kompromitace hlavního klíče).

    To že někdo něco dělá špatně není důvodem k tomu koncept zavrhovat. Naopak je to důvodem k tomu dělat osvětu.