> Рядом человек предложил другую идею: подписывать сертификат не одним CA, а несколькими. > Тогда, чтобы получить поддельный, нужно будет сломать все CA, подписавшие сертификат. > С другой стороны, это может быть опциональным: можно сгенерировать самоподписанный сертификат, > можно его подписать в одном СА, а можно - в нескольких. > Вася Пупкин для своей домашней странички может ограничиться первым вариантом, а > крупные сайты - последним. Эта идея будет работать, что подтверждает сама > новость: Это бы работало при одном условии - если не принимается один подписавший CA - не принимается весь сертификат в целом. А теперь представь это на практике. Дюжина подписантов. Крупный ресурс. Один серт горит красным. Всех юзеров откидывает на disney.com. Миллионы жалоб админам. Писец? Представил?
|