Здравствуйте, Иван Дубров, Вы писали:
Pzz>>В этой связи возникает естественный вопрос, можно ли всем им доверять. Если спецслужбы некоторого государства смогут "убедить" какую-либо из итих CA с ними сотрудничать и иногда выписывать фальшивые сертификаты, то они без проблем влезут в твой траффик.
ИД>Не обязательно. В какой-то степени можно защищаться с помощью HPKP и DANE.
Насколько я понял, HPKP использует HTTP-заголовки в ответе сервера, которые атакер легко может и подделать, а DANE полагается на DNS, ответы которого легко может подделать интернет-провайдер (а мой так и подделывает время от времени, экспериментальный факт). Бровсер при этом даже и не пикнет, а у нормального пользователя нет никаких других инструментов, чтобы проверить, что в соединение не влезли.