Когда я был моложе, я столкнулся с компрометацией Fortigate, в которой мой банк оказался посредником, потому что Firefox включил сертификат Fortigate, а теперь, после недавней атаки Notepad++, где также злоупотреблялось очевидно доверенное подписание сертификата, я задавался вопросом, может ли Javascript проверить представленный открытый ключ сервера, к которому он подключается, позволить ему проверить хеш открытого ключа сервера? Или разрешить пользователю проверять представленный хэш открытого ключа?
Я понимаю, почему было бы опасно предоставлять Javascript доступ к базовым ключам, но есть ли какая-нибудь схема, которую люди могут придумать, где уровень приложения мог бы проверить, что в цепочке сертификатов не происходит дурачества.
РЕДАКТИРОВАТЬ: Похоже, что да, используя getSecurityInfo, но по какой-то причине он доступен только в Firefox.
Подробнее здесь: https://stackoverflow.com/questions/798 ... icate-hash