CA je nahovno, je to axiom tisickrat potvrzenej praxi (tvle. jako by tohle nebylo prave pod wosign, coz je zarnej priklad). Co na tom nechapes? Duveryhodnosti libovolny CA je zcela zaporna ... protoze pouziti "duvery" v CA naopak bezpecnost rapidne snizuje. Libovolnej selfsing je o rady bezpecnejsi.
Prvni kontakt pokud ti jde o bezpecnost aktualne udelat nejde vubec nijak, ale uplne stejne ses na tom s druhym tretim a dalsim ... protoze jedinej zpusob jak bys to moh delat, je pokazdy rucne a po kazdym kliku znova, overovat fingerprint toho certifikatu. ZADNOU jinou moznost aktualne NEMAS. Protoze kazdej dalsi klik muze bej podepsane libovolnou z tech desitek "duveryhodnych" CA ... a ty se to vubec nedovis. Co hur, on se to nedovi ani provozovatel toho webu, nema jak.
To se samo tyce i DANE, ale narozdil od nepouzitelnyho PKI tam mas aspon vyhodu v tom, ze drzitel domeny muze zjistit, ze mu to nekdo naboural. Pokud nekdo slohne domenu ... ses na tom uplne stejne. Ale bezpecnost je o pravdepodobnosti ... pricemz s dane ses na tom o dost lip - terminoval si jeden z prukazne naprosto neduveryhodnych meziclanku, a spolehas se na dns, bez kteryho se stejne nikam nepripojis.
Samo i v pripade DANE by bylo fajn, kdyby ti browser umoznil ulozit cert a varovat v pripade zmeny ...