А вот кстати пришла в голову такая идея. Есть сайт abcd.com. Я делаю на него самый долгоиграющий сертификат. Продаю домен и теперь получается могу митмить трафик к новому владельцу если захочу.

Кстати интересный вопрос

Хотя тут hsts может помешать

Интересно еще что и как будет с Credential Delegation https://blog.cloudflare.com/keyless-delegation/

каким образом?

самый долгоиграющий это 2 года

ну и новый владелец, если не дурак, при покупке домена посмотрит в CT все выписанные для него серты и отзовет

в массовом сегменте - ничего

это возможность подтвердить endpoint domain и обеспечить целостность и конфиденциальность трафика при общении с ним. с известными допущениями

Перепутал с HPKP. Случай когда был конект хотябы 1 раз до настоящего сервера и он успел сообщить браузеру какие сертификаты доверенные.

Так например гугл будет ругаться на сертификат даже если ты его сделаешь доверенным в системе

Пока не сбросишь кеш браузера

HPKP разве ктото поддерживает? вроде его задеприкейтили

Сейчас 2 года уже можно считать очень долгим сроком. Во многих технологиях конечные сертификаты часто выдаются на несколько часов или дней.

его выпилят из браузеров asap

Ребят, читаю, не доконца понимаю "большинство DNS-запросов будет обрабатываться с использованием протокола UDP, исключение составляют трансфер зоны (Query type AXFR) и ответы сервера, превышающие 512 байт на одно сообщение. На вопрос "зачем" ответ простой: чтобы не использовались для DDoS"   Как использоваться для ддос? Ну по tcp происходит рукопожатие а потом отправка, это больше грузит канал а почему тогда число 512? Вроде простота но понимания нет..

Чтобы нельзя было сделать большой мультипликатор?

или есть риски не передать по UDP большие пакеты

Те затраты на запросы были невыгодными, так как ответы не будут большими

И речь таки про UDP, да
Не про TCP