в контексте CA все довольно простоLjolja wrote:Честно говоря я не вполне предтавляю себе как работает електронный сертификат.
Вообщето кто/когда как... просто посылают владельцам домена, были даже случаи хака когда тупо посылали на SSLCertificates@domain.com а там был хитропопый клиент вместо владельца. То что Вы описываете это Extended Validation Certificate который, кстати, не выдается на *.intel.com а только на www.intel.com.Интеррапт wrote:Нет, Интелов не будет много, он будет только один, еще и с прописаным адресом, с указанным веб-сайтом http://www.intel.com
В том то и дело, что CA (certificate authority) проверяют и следят за тем, чтобы цифровой сертификат с именем Intel, с его веб адресом и т.п. - был только у Интела. Этим CA доверяют, что они проведут всю нужную проверку (запросят документы у Интела, проверят адрес, телефон, банк стейтменты, если нужно и т.п.), прежде чем сертификат будет выдан именно Интелу. Каким образом все это будет работать, если CA исчезнут? Кто проверять будет?
проверка при регистрации и поддержка системы задачи разные, можно вполне оставить и CA только свести функции к проверке.
обратите внимание на
http://en.wikipedia.org/wiki/Certificat ... compromise
да и с этим они не идиально справляются
A notable case of CA subversion like this occurred in 2001, when the certificate authority VeriSign issued two certificates to a person claiming to represent Microsoft.
причем в текушей имплементации это заметить сложнее. собственно проблема очевидна и есть попытка воркараундаIn 2012, it became known that Trustwave issued a subordinate root certificate that was used for transparent traffic management (man-in-the-middle) which effectively permitted an enterprise to sniff SSL internal network traffic using the subordinate certificate.
http://en.wikipedia.org/wiki/Certificate_transparency
Вы ожидаете после этого конструктивной беседы? Обсуждать, как криптовалюта заменит гос. валюты и даже CA - это уровень статей Wired для подъема продаж топовых GPU карточек для школьников.
