Промежуточный сертификат будет подписан SHA-2.
Если ваш браузер «увидит» в цепочке корневой сертификат, отличный от того, что хранится в доверенных корневых (или не подписанный другим доверенным корневым), то выдаст предупреждение.
Еще раз: браузер не будет проверять подпись корневого УЦ, а просто проверит, есть ли он в списке доверенных.
Вы вот это почитайте. Там спецы из Symantec, Entrust, Microsoft, Trend Micro предлагают отодвинуть дэдлайн до которого еще будут выпускаться сертификаты с SHA-1.
Сам факт предложения сделать фото должен отпугнуть злоумышленника.
Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.
про фото в паспорте
Я когда продавал машину был крайне удивлен несоответствием фотографии в паспорте и внешности покупателя. Засомневавшись я попросил предъявить еще какой-либо документ. И только увидев более свежее водительское удостоверение с той же фамилией и более похожей на покупателя фотографией, успокоился. И вообще я несколько раз сталкивался с тем, что не узнаю человека по фотографии в паспорте.
Что вам мешает на себе проверить предложенную модель? Удалите все доверенные УЦ из настроек браузера или ОС. Затем добавляйте те, которые считаете надежными.
доверять только тем ЦС, чьи корневые сертификаты я установил в браузер сам
Но вы же все равно установите себе корневые Thawte, GeoTrust и прочие. Без них многие сайты у вас будут ругаться на ошибку сертификата.
И никто не даст вам гарантий, что УЦ, которые в вашей системе будут доверенными не накосячут так же или даже хуже.
Производители ОС и браузеров руководствуются CP/CPS, авторитетом УЦ и аудиторских компаний, которые принимают участие в создании и контроле УЦ.
Вдогонку: недавно кто-то поблизости разбирался, кажется, с «Cбербанк-АСТ». Меня удивил тот факт, что в инструкции было предложено скачать корневой сертификат по http (была ссылка). Вот какой смысл в этой всей петрушке с шифрованием, если корневой качается по http?
Я года 4 назад настраивал клиент-банк Казахского Сбербанка. Там аналогичная ситуация: скачайте сертификат по ссылке … Звонил и объяснял им, что так нельзя. Пропадает весь смысл доверия. Кое как уговорил продиктовать мне отпечаток сертификата, который они считают правильным.
В итоге, через несколько месяцев у сертификата истек срок действия. Техпод на голубом глазу говорили мне, что надо просто игнорировать ошибку в браузере.
Все мои заверения, что это вообще ни в какие ворота остались неуслышанными.
А главное, что Symantec в принципе не выпускает сертификаты для Google. Сертификаты для Google выпускает в основном GeoTrust. Поэтому непонятно, как вообще они могли такое тестировать
Вот для этого и надо Certificate Transparency. Вы сможете отследить, что кто-то выпустил сертификат для вашего домена.
И вообще, для УЦ выпустить сертификат для домена без ведома владельца, да еще и злонамеренно — подписать себе смертный приговор. Весь бизнес УЦ держится на доверии к этим УЦ, поэтому они на это не пойдут.
Есть случаи, когда владелец не может прийти самостоятельно (травмы, некоторые заболевания, нахождение за границей). Для этого и существуют нотариальные доверенности.
Если ваш браузер «увидит» в цепочке корневой сертификат, отличный от того, что хранится в доверенных корневых (или не подписанный другим доверенным корневым), то выдаст предупреждение.
Еще раз: браузер не будет проверять подпись корневого УЦ, а просто проверит, есть ли он в списке доверенных.
Так более корректно?
Если во всех офисах есть камеры достаточного разрешения, то возможно, фото не обязательно.
Скан паспорта в принципе тоже не нужен. Ведь данные паспорта есть в доверенности и они сверяются при предъявлении доверенности.
Но вы же все равно установите себе корневые Thawte, GeoTrust и прочие. Без них многие сайты у вас будут ругаться на ошибку сертификата.
И никто не даст вам гарантий, что УЦ, которые в вашей системе будут доверенными не накосячут так же или даже хуже.
Производители ОС и браузеров руководствуются CP/CPS, авторитетом УЦ и аудиторских компаний, которые принимают участие в создании и контроле УЦ.
Я года 4 назад настраивал клиент-банк Казахского Сбербанка. Там аналогичная ситуация: скачайте сертификат по ссылке … Звонил и объяснял им, что так нельзя. Пропадает весь смысл доверия. Кое как уговорил продиктовать мне отпечаток сертификата, который они считают правильным.
В итоге, через несколько месяцев у сертификата истек срок действия. Техпод на голубом глазу говорили мне, что надо просто игнорировать ошибку в браузере.
Все мои заверения, что это вообще ни в какие ворота остались неуслышанными.
И вообще, для УЦ выпустить сертификат для домена без ведома владельца, да еще и злонамеренно — подписать себе смертный приговор. Весь бизнес УЦ держится на доверии к этим УЦ, поэтому они на это не пойдут.