C'est surtout que TACK ne réutilise pas les CAs en fait: est-ce que tu imagines avoir une TSK par serveur Google, y compris les CDNs un peu partout dans le monde
Il y a aucun souci à ça.
Tu peux utiliser une même TACK key pour signer plusieurs certificats X509.
Etant donné que les certificats de Google/facebook sont déja signé par un CA à leur génération, rajouter une signature devrait être un jeu d'enfant.
Le gros problème de TACK est qu'il rend l'architecture X509/CA/TLS encore plus monstrueuse, confuse et bordélique qu'elle ne l'est déja.
[^] # Re: TACK
Posté par Firwen (site web personnel) . En réponse au journal Public Key Pinning Extension for HTTP. Évalué à 1.
Il y a aucun souci à ça.
Tu peux utiliser une même TACK key pour signer plusieurs certificats X509.
Etant donné que les certificats de Google/facebook sont déja signé par un CA à leur génération, rajouter une signature devrait être un jeu d'enfant.
Le gros problème de TACK est qu'il rend l'architecture X509/CA/TLS encore plus monstrueuse, confuse et bordélique qu'elle ne l'est déja.