Vrátit se mohou vždycky. Stačí si pořídit novou společnost s novým jménem a opět ho vybavit švýcarským křížem, jako to bylo u StartSSL.
Ale oni se vracet moc nemusí. V podstatě se jim totiž nic nestalo, udělali si obrovskou reklamu (byť negativní, taky reklamu), přišli možná o pár zákazníků, a teď se očistili.
A jede se dál. Systém certifikačních autorit má svoje chyby. A Mozilla (a o to víc všichni ostatní) je málo přísná. Měla je odstřihnou obě bez meškání, v okamžiku. A na audit by se nečekalo půl roku (nebo kolik), a byl by to pěkný příklad pro ostatní. Včetně zákazníků.
Kdyby soudruzi v chrozille mysleli (tedy meli aspon pulu mozku) tak zrusej cely PKI ... a implementujou DANE. Nebylo by to sice dokonaly, ale by lo by to o 3 rady bezpecnejsi.
Kdyby meli aspon jednu mozkovou bunku, tak vyhodej vsechny tzv "duveryhodny" a upravej uloziste tak, ze cert/CA bude navazana na konkretni domeny na ktery si je user sam prida.
Pomocou rozsirenia Certificate Patrol si mozes vyskusat, ako by to vyzeralo v praxi: kazdu chvilu vyskakujuce okno kvoli oznamu o novom certifikate, pretoze sa plno veci nacita zo vselijakych CDNiek. To by BFU len bez rozmyslania odklikaval vsetko zaradom... Takze ako default je to nevhodne.
Mozno by skor pomohlo nejake vizualne odlisenie, kde by bolo na prvy pohlad vidiet, ci je spojenie uplne nezabezpecene (http), zasifrovane (https, ale identita druhej strany nepotvrdena, teda aj sucasny default by patril sem), zabezpecene-a-overene (https plus manualne potvrdene, ze suhlasim s CA alebo self-sign). Samozrejme, ak by nesedelo nieco s tym, co si manualne nastavil, hlasno by to revalo ze je nieco zle...
Cos nepochopil na tom, ze nema vyskakovat NIC? https bez overenyho certifikatu je EXAKTNE stejny jako http ... tudiz ma browser proste drzet hubu a zobrazit to.
Teprve AZ si user neco nekam prida, cimz projevi nejaky prani nejak neco overovat, tak se mu muze zobrazit varovani pripadne mu browser muze komunikaci odstrelit.