"V tuto chvíli je to totiž vlastně tak, že certifikát vydaný StartSSL či WoSign (lhostejno zda za peníze či zdarma) je fakticky na stejné úrovni jako vámi vystavený self-signed."
Když si sám vystavím self-signed certifikát, tak mu mohu důvěřovat. To o certifikátech od StartSSL či WoSign neplatí.
Muzes a nemuzes ... totiz, duverovat muzes libovolnymu selfsign certu, ale jen v pripade, ze se ti nejdriv povede odstranit vsechny CA. V opacnym pripade bude tvuj browser zcela spokojen i v pripade, ze se web, misto tvyho certu prokaze libovolnym jinym, podepsany CA.
To je ti tak leda na kulovy, a fungovat to bude vyhradne v pripade, ze nekdo vyda cert pro hodne pouzivanou sluzbu, pricemz zaroven se ten cert objevi verejne na netu a zatreti, ze tvuj milej browser se jeste muze pripojit kamsi.
Vsechno podminky, ktery pri MITM trivialne snadno vyresi i bridil.
Zase kecáš. Certificate Patrol funguje pro tvoje ručně akceptované certifikáty přesně tak, jak požaduješ. Žádná CA nemůže vydat certifikát, který by tvůj prohlížeč pro tu doménu akceptoval.
Psal jsem, že mnou vystavenému self-signed certifikátu mohu důvěřovat. Proč do toho pleteš použití na webu, jak se prohlížeč zachová k jinému certifikátu vystavenému na moji doménu, a konec konců i způsob, jak bude ten certifikát ověřován, netuším. Strawman? Dyslexie? Neznalost? Nebo ještě něco jiného?
