On Thu, 8 Aug 2019 09:47:48 +0300 artiom <artio...@yandex.ru> wrote: > > Как ГБ может заставить чужой браузер > > ПолярнаяЛиса отдать в JS тот фингерпринт, который должен быть у > > интересного юзеру сайта, а не тот, который в подсунутом чекистами > > сертификате? > > Изначальная посылка была в том, что государство может заставить > браузер установить их корневой сертификат. > Не пользователя.
Это не совсем верная посылка. Поскольку обсуждение в списке рассылки Mozilla было на тему "а надо ли разрешать пользователю ставить такой сертификат, или его следует жестоко заблеклистить" Далеко не всякое государство может себе позволить заставить чего-то производителей браузера. Американское может, китайское - ну, вероятно, российское - под большим вопросом, а уж казахское... Была пара случаев когда национальные CA - какого-то из эмиратов Персидского Залива и китайский пропихивали свои сертификаты в браузер, а ПОТОМ были пойманы на использовании этих сертификатов для MiTM и с позором выкинуты из ca-bundle. --
