Vlákno názorů k článku
Platnost HTTPS certifikátů uživatelem přidaných CA je prakticky omezena na 2 roky od ... - Ono by bylo úplně nejlepší kdyby prohlížeče začaly...

Ono by bylo úplně nejlepší kdyby prohlížeče začaly podporovat DANE, pak bychom tyhle věci nemuseli řešit vůbec. Respektive bychom pak k tomu nepotřebovali žádnou "důvěryhodnou" certifikační autoritu.

Bohužel se k podpoře DANE žádný prohlížeč nemá. :-(

To by pak google nemoh smirovat prostrednicvim certifikatu cely internet ...takze ani nikdy podporovat nebude.

Certificate transparency neni o tom, ze jen Google muze smirovat. Smirovat muzu treba i ja - a trebas i to, jestli si nahodou s jmenem moji domeny nekdo nekde nevyda certifikat, ze? A navic zabezpeceni pojate skrze nejakou obskuritu (treba i to, ze neco zdanlive utajite) asi moc bezpecny nebude, ze?

Takže přiznáváte, že je to akce "v rámci Vaší bezpečnosti a zlepšování kvality služeb jsme Vám všem umístili na WC kameru." Nebo notorické problémy s IČO vs RČ.

Ostatně ono stačí si vytočit virtuál na nové subdoméně,nechat běžet půl roku, a pak si na něj udělat letsencrypt certifikát. Během chvíle je tam GoogleBot. Takže mi vykládejte něco o motivaci.
(a hvězdičkové certy jsou prasárna, ale kvůli téhle prasárně nutnost.)

ad. zabezpečení skrze obskuritu - https://en.wikipedia.org/wiki/Defense_in_depth_(computing)

Mluvite o problemu, ktery ani nedokazete spravne pojmenovat :-) Ano, RC versus DIC je problem, ktery bezvyznamove identifikatory vyresi. A od 1.1.2021 muzete i to DIC jako OSVC zmenit.

Virtual nebezi na subdomene, ale na IP(v6) adrese. A tu nekdo navstivi i tak driv, nez za ten pulrok. Ano, s IPv6 je ta pravdepodobnost navstevy mensi, nez s IPv4, ale vyloucit ji taky nemuzete. A ten navstevnik vas dost casto nebude chtit "jen" zindexovat (kdy u toho soucasne respektuje veci jako robots.txt ci noindex v html hlavickach). Nadavat na certificate transparency, kdy se soucasne snazite o security through obscurity je tak trochu... chucpe :D

" trebas i to, jestli si nahodou s jmenem moji domeny nekdo nekde nevyda certifikat, ze?"

No vidis, a presne tohle se treba vubec nedovis.

Zato google se dovi nazev kazdyho webu na ktery lezes, pokud tomu broseru aktivne neznemoznis se na tu pitomost ptat.

No vidis, a presne tohle se treba vubec nedovis.
Je zajímavé, že já se to dozvím.

Zato google se dovi nazev kazdyho webu na ktery lezes, pokud tomu broseru aktivne neznemoznis se na tu pitomost ptat.
Nedozví. Google SafeBrowsing používá hash URL.

Co zhruba si představujete pod „šmírováním prostřednictvím certifikátů“?