> Я-то лично как раз не верещу, а ещё и не успеваю следить за загнивающим вебом.блин, ну нельзя же ТАК тормозить?!
записывай вкратце: hpkp отменил гугель. То есть можно считать что его нет, при их-то 75%. Нет, для себя и друзей - оставил, то есть телеметрию перехватить ты не сможешь, а вот сайты - пожалуйста.
Причиной была названа, ну конечно же ж, забота о дорогих пользователях - владельцах сайтов, которые все время теряли ключи от прибитых гвоздем сертификатов, и потом не могли зайти на свой сайт и очень плакали.
ocsp - это ответ гугля и мазилы на отмену crl - который был просто списком отмененных сертификатов, и его скачивание ничуть не раскрывало, к какому именно сайту ты обращаешься, поэтому было объявлено, что они загружаются ну ооооочень долго, пользователь не может ждать - вот тормозить при каждом новом обращении к шифрованному сайту (потому что помимо сессии с ним устанавливается еще и невидимая тебе сессия с ocsp - и пока не установится, хэшдшейк не пройдет) - это норм. Теперь уже конкретный сертификат браузер предоставляет на рассмотрение цензору, на предмет одобрения его использования в каждом конкретном случае.
Попутно при этом владелец ocsp-сервера узнает, в хорошем случае (веб-сервер на который ты зашел, снабжен вредной и опасной функциональностью ocsp stapling) - о факте посещения аноном конкретного сайта, в плохом (владелец сервера решил что гори ты синим пламенем, но сервер подставлять под лишние уязвимости, баги, глюки и лишнюю нагрузку он не будет) - еще и твой фингерпринт получает для коллекции.
Этой прекрасной технологии немного мешал тот факт, что в браузере зачем-то было установлено стопиццот CA, каждый из которых мог иметь собственный ocsp-сервер, а отдельные ретрограды в количестве over 60% вообще не использовали https.
Поэтому проблему решили традиционным способом, объявив раздачу бесплатного сыра, разумеется, ради заботы о безопастносте. Пытавшихся раздавать неправильный сыр или продавать по демпинговым ценам - объявили предателями и врагами нации, и их сертификаты объявили недостоверными. Одни поняли все правильно (wosign, их разблокировали без шума, пыли и лишних анонсов), другие не поняли, и решили что претензия была к их инфраструктуре. Построили новую с нуля (недешево, она физическую безопасность должна обеспечивать, помимо цифровой), занесли _снова_ два вагона денег мафии за согласования и подтверждения достойности, и пошли лесом, поскольку не усекли главного - бесплатный сыр может быть только в одной мышеловке, а не у каждого китайца.
А за 60 евро в год (минимум, и без гарантий что не подорожает) или за 120 - ты, наверное, и сам не захочешь.