> Гуглы активно продвигают свою систему мониторинга за сертификатами. слежка, это слово переводится так.
И еще - как систему шантажа и уничтожения конкурентов, и не более того.
> клиент получивший сертификат с сервера может проверить
не, не может.
Это гугль может. А вы - нет. Вручную разьве что, и на каждый http GET отдельно. А, и pkp мы отменили, не забудьте. И crl'ы тоже - "долго грузились" и не позволяли майору видеть, что за домен вы пытаетесь проверить.
Этой части api нет ни в одном браузере, да и вообще вам никто не обещал что доступ к этим проверяшкам будет бесплатен и для всех. А про то что вы можете открыть _свой_ CA и вам этот доступ предоставят хотя бы просто за вменяемые деньги - и вовсе никогда речи не шло. Причем тут даже не "походи по базару, поспрашивай", тут надо сливать во все (потому что их всего три? И все у кого надо.)
А вот если кто-то вздумает выдавать сертификаты НЕ сливая гуглю инфу кому он их выдал - его быстренько лишат такой возможности, приравняв их даже не к самоподписанным, а вообще запретив с ними общаться - как это и сделали со startssl, вздумавшей, поверите ли, самой раздавать сертификаты бесплатно - не кланяясь господам действительного положения вещей. Там повод пришлось высосать из пальца, а теперь он - есть. Новых trusted CA не будет, думаю (разьве что опять очередной прожект гугля и его жополизов). А старых потихонечку изведут. Этот низко летел, тот плохо свистел...
starttls йевривере, а если у вас неправильный сертификат, идите нахрен, шлите почту голубями.