Вопрос решили быстро: ввели национальные сертификаты на уровне белых списков доменов.
Но на этом процесс не остановился. На смену белым спискам пришли логи. Точнее - публичный лог «Яндекса» по стандарту Certificate Transparency. Теперь каждый новый SSL-сертификат, выдаваемый удостоверяющим центром, имеет подписанную метку СТ-лога от «Яндекса». А это значит, что в одном журнале будут записаны и доступны для публичного аудита все сертификаты, выданные домену.
Наличие национального сертификата можно проверить в специальном сервисе Яндекс.Вебмастер. Поиск идёт по всем доступным CT-логам, а также по старому белому списку доменов.
Как это работает, коллеги из «Яндекса» хорошо описали тут. Сделали полезное дело. Молодцы.
Начать дискуссию