Его (промежуточный корневой) и отозвали в случае TrustWave. Я, правда, не понимаю, зачем была эта вся свистопляска с его созданием - клиенту проще было централизованно на всех корпоративных машинах в браузеры добавить свой сертификат как корневой, как обычно и делается.А разница принципиальна - если оно в HSM то в левые руки уже не попадёт. А в бОльшей перспективе - это значит, что если сертфикат не в железе - значит, нарушены стандартные практики безопасной работы. и тогда - всё, гаси свет, дальше можно не разбираться. Как было с DigiNotar тем же. То есть промежуточный корневой сертификат выписали кому-то - это одно. А вот если допустили, чтобы он попал в руки дятлам, не способным обеспечить его безопасность - это совсем другое. И тут резко встаёт вопрос о компетентности CA в принципе, и его хоронят.
|